Broadcom reduziert den Bitnami-Katalog auf gehärtete Images

Broadcom stellt den Bitnami-Katalog um, der künftig nur noch gehärtete Images enthält. Die anderen Images wandern in einen Legacy-Katalog, den Broadcom nicht mehr pflegt. Zusätzlich gibt es mit Bitnami Secure Images kostenpflichtige Premium-Pakete mit speziellen Update-, Transparenz- und Sicherheitsgarantien.

Der zentrale Bitnami-Katalog – eine Sammlung sofort einsetzbarer Anwendungspakete – wird nur noch Images mit geringerer Angriffsfläche enthalten, die laut Blog-Eintrag „weniger“ CVE-Schwachstellen aufweisen. Ferner darf das Verzeichnis jetzt nur noch Pakete mit dem latest-Tag anbieten. Alle anderen verschiebt Broadcom in einen Legacy-Katalog, dessen Inhalte der Hersteller jedoch nicht mehr pflegt. Ausgenommen davon sind die Projekte Sealed Secrets und minideb. Das neue Angebot entspricht dem bisherigen Secure-Katalog.

Legacy oder Premium?

Anwendern, deren Helm-Pulls ins Leere laufen, empfiehlt Broadcom, ein Upgrade auf dieselbe Version durchzuführen und den Repository-Parameter auf das Legacy-Verzeichnis umzustellen. Alternativ lassen sich die neuen Premium-Images nutzen. Welche Pakete konkret nur noch legacy sind, oder ein Premiumkonto benötigen, geht aus der Ankündigung von Broadcom nicht hervor.

Die 280 Premiumpakete gibt es über den Broadcom-Distributor Arrow. Der Anbieter managt sie und hat sie auf hohe Sicherheit optimiert. Er verspricht minimale CVE-Angriffsflächen, Updates innerhalb von Stunden und volle Transparenz auch für nicht gepatchte CVE-Schwachstellen. Das soll Lieferkettenangriffe erschweren und IT-Verantwortlichen ein echtes Risikomanagement ermöglichen. Neu sind auch minimale, distroless Helm-Charts, die bis zu 83 Prozent kleiner sind und nur die Hälfte der Pakete zur Laufzeit benötigen.

Hinzu kommen ein Long-Time-Support, eine Metadaten-API (mit SBOMs und VEX) und die Unterstützung von Photon OS.

Bitnami gehört seit der VMware-Übernahme zu Broadcom. Der Virtualisierungsanbieter hatte Bitnami Mitte 2019 übernommen.

(who)