Verschleppt zu sehr von "kostenlosen Benutzern", hat ein etabliertes Open-Source-Softwareprodukt mit bis zu einer Milliarde Downloads offiziell angekündigt: Die kostenlosen Docker-Images werden nicht mehr weiterverteilt. Wer sie nutzen möchte, muss sie selbst erstellen.
MinIO, das einst als das am schnellsten wachsende Open-Source-System für Objektspeicher weltweit galt und über 1 Milliarde Downloads erreicht hat, hat kürzlich in der Open-Source-Community eine kleine Aufregung ausgelöst. Der Grund dafür ist, dass MinIO am 15. Oktober 2025 eine CVE-konforme Version zur Behebung von Sicherheitslücken veröffentlichte. Einige Benutzer konnten jedoch die offizielle Docker-Image auf DockerHub und Quay.io nicht finden und stellten auf GitHub die Frage: „Wo ist das neue Image?“
Anschließend trat Harshavardhana, ein Kernentwickler von MinIO, hinzu und antwortete: "MinIO bietet derzeit nur die Quellcode-Verteilung an. Wenn Sie ein Container-Image verwenden möchten, müssen Sie es selbst erstellen."
Wenngleich viele nicht ahnten, dass diese Antwort die Diskussion in der Community wie ein Schlaglicht entzündete. Viele Leute riefen es unglaublich, dass "dieses populäre Open-Source-Projekt plötzlich eine andere Richtung eingeschlagen hat". Unter diesen Kontroversen stieg das Thema auf die erste Stelle der Hacker News-Hotliste.
Was ist MinIO?
Einfach ausgedrückt, ist MinIO ein hochleistungsfähiges verteiltes Objektspeichersystem, das unter der GNU AGPL v3.0-Lizenz veröffentlicht wurde und mit der Amazon S3 API kompatibel ist. Es ermöglicht die Erstellung von Speichersystemen mit hohem Durchsatz und geringer Latenz in Cloud- oder lokalen Umgebungen.
Aufgrund seiner Benutzerfreundlichkeit und Leistung wird es von vielen Unternehmen in Cloud-native Architekturen, Künstlicher Intelligenz, Big-Data-Analysen und anderen Szenarien eingesetzt. MinIO ist auch in der Open-Source-Community sehr aktiv und hat über 1.400 Abhängigkeiten, 56.000 Sterne und 6.300 Forks auf GitHub. Dadurch hat es auf Docker Hub über 1 Milliarde Downloads erreicht.
In China wurden bisher laut Statistiken über 9.000 Unternehmen wie Alibaba, Tencent, Baidu, China Unicom, Huawei und China Mobile MinIO eingesetzt, insbesondere bei der Erstellung von privaten Cloud-Speichern, Hybrid-Cloud-Speichern und verteilten Speichern.
Die Auswirkungen des Stopps der Binärverteilung der Community-Edition
In der Vergangenheit konnten Entwickler direkt die offizielle Docker-Image verwenden, um MinIO schnell bereitzustellen. Dies war auch ein Kernbestandteil des CI/CD-Prozesses vieler Unternehmen.
Jetzt ist dieser bequeme Weg von der Offizielle geschlossen. Dies bedeutet, dass Benutzer die Container selbst aus dem Quellcode erstellen müssen, was die Betriebsführung erschwert und potenzielle Sicherheitsrisiken erhöht.
Für viele Unternehmen und Entwickler ist die Docker-Image die Hauptmethode für die tägliche Bereitstellung. Ohne die Image würden die automatischen Updates und der Prozess zur Behebung von Sicherheitslücken unterbrochen. Darüber hinaus erfordert die eigene Erstellung zusätzliche Konfiguration und Tests, was die Wartungskosten erhöht. Dies hat insbesondere für Unternehmen mit hohen Sicherheits- und Compliance-Anforderungen (insbesondere mit CVE-Anforderungen) einen großen Einfluss.
Als MinIO also ankündigte, "keine Images mehr zu veröffentlichen, sondern nur noch Quellcode anzubieten", folgte eine Welle von Kritik in der Community. Viele Benutzer kritisierten MinIO wie folgt:
Fehlende Ankündigung: Viele Entwickler berichteten, dass die Änderung nicht im Voraus angekündigt wurde, was die bestehenden Bereitstellungspläne beeinträchtigte.
Sicherheitsrisiken: Einige Benutzer befürchteten, dass die fehlende Bereitstellung von CVE-konformen Images dazu führen würde, dass laufende Instanzen nicht automatisch aktualisiert werden können und somit Sicherheitslücken entstehen könnten.
Vertrauensprobleme bei Unternehmen: Bezahlende Unternehmensbenutzer zeigten sich unzufrieden: "Wir haben für die Lizenz bezahlt, aber der OIDC-Code der Open-Source-Version wurde entfernt und die Docker-Image-Verteilung eingestellt. Dies wirkt wie eine Sperrstrategie und lässt das Vertrauen vermissen."
Entfernung von Funktionen: Die Entfernung einiger Funktionen aus der MinIO-Konsole hat auch die Benutzer belastet.
MinIOs Maßnahmen gegen "Freifahrer"
MinIOs Entscheidung lässt sich auf die große Anzahl von "Freifahrern" zurückführen. Über die Jahre hat MinIO viele Maßnahmen ergriffen und mehrere Richtlinien geändert, um die angemessene Nutzung des Open-Source-Projekts zu fördern und die Kosten für die kostenlose Wartung des Open-Source-Software zu senken. Hier sind einige Beispiele:
Ursprünglich war MinIO unter der Apache 2.0-Lizenz veröffentlicht, die die freie Nutzung, Modifikation und Weiterverbreitung erlaubt. Mit zunehmender Popularität des Projekts haben einige große Unternehmen möglicherweise MinIO direkt für kommerzielle SaaS- oder Cloud-Dienste eingesetzt, ohne jedoch wesentlich zur Community beizutragen. Dies hat die Wartung des Projekts erheblich belastet.
Im Jahr 2021 wechselte MinIO zur APGLv3-Lizenz, die die Offenlegung des Quellcodes bei der Bereitstellung von Diensten vorschreibt, um das Projekt und die Community zu schützen.
Im Mai dieses Jahres wurde die Verwaltungsfunktion der Konsole in der neuesten Minio CE-Version entfernt. Dies geschah aus zwei Gründen: Einerseits um die Wartungskosten der kostenlosen Version zu senken und andererseits um die Kommerzialisierung der Unternehmensversion zu fördern, damit das Entwicklungsteam mehr Zeit und Ressourcen auf die Kernfunktionen des Speichers und die Optimierung der Leistung verwenden kann. Benutzer der Community-Edition können weiterhin die Konsole aus dem Quellcode selbst erstellen oder Drittanbietertools verwenden, aber die offizielle Verwaltungs-Oberfläche wird nicht mehr angeboten.
Die neueste Entscheidung von MinIO ist der Stopp der Binärverteilung der Community-Edition, d.h. die Einstellung der Verteilung der kostenlosen Docker-Image.
Die Offizielle hat in der README-Datei des MinIO-GitHub-Projekts klar geschrieben:
Nur Quellcode-Verteilung
Wichtiger Hinweis: Die MinIO Community-Edition wird jetzt nur noch als Quellcode verteilt. Wir werden keine vorkompilierten Binärversionen der Community-Edition mehr anbieten.
Installation der neuesten MinIO Community-Edition
Es gibt zwei Möglichkeiten, die MinIO Community-Edition zu verwenden:
1. Installation aus dem Quellcode (empfohlen): go install github.com/minio/minio@latest
2. Erstellung einer Docker-Image mit der bereitgestellten Dockerfile
Alte Binärversionen
Alte vorkompilierte Binärversionen können weiterhin als Referenz verwendet werden, werden aber nicht mehr gewartet:
GitHub Releases: https://github.com/minio/minio/releases
Direkter Download: https://dl.min.io/server/minio/release/
Diese alten Binärversionen werden nicht mehr aktualisiert. Wir empfehlen dringend, die Quellcode-Kompilierung zu verwenden, um die neuesten Funktionen, Sicherheitsupdates und Bugfixes zu erhalten.
Reaktion der Community: Unzufriedenheit, Sorge und Forderungen nach einem Fork
Tatsächlich haben einige Benutzer auf Hacker News darauf hingewiesen, dass MinIOs Entscheidung kein völliger Überraschungsangriff war. "Die Dokumentation wurde vor einigen Wochen eingestellt, und jetzt werden auch die Docker-Image nicht mehr aktualisiert. Das Open-Source-Projekt könnte zum Stillstand kommen."
Der Benutzer mattbee kommentierte:
Vor einigen Wochen haben sie die Wartung der Dokumentation (der Open-Source-Version) aufgegeben - ich finde, dass dies noch gravierender ist.
Nachrichten aus ihrem Slack-Kanal vom 10. Oktober:
"Heute Morgen haben wir die Dokumentationsseite auf docs.min.io/community offline genommen und werden so weit wie möglich auf die entsprechende AIStor-Dokumentation umleiten."
Das minio/docs-Repository wurde seit zwei Wochen nicht mehr aktualisiert und es scheint, dass es auch in Zukunft nicht mehr aktualisiert wird.
Als ich im Februar dieses Jahres einen MinIO-Cluster aufgebaut habe, war der Prozess insgesamt beeindruckend einfach, aber in einigen Details auch etwas tricky. Die wichtigsten Installationshinweise - wie die Einstellungen für 100 Gbit/s-Netzwerke, die Optimierung des Linux-Kernels und die Fehlersuche - waren damals in den GitHub-Kommentaren versteckt und verwiesen auf Dateien, die bereits vor Jahren gelöscht wurden.
Der Cluster, den ich für meine Kunden aufgebaut habe, wird dieses Jahr auf etwa 100 PB erweitert. Die Supportkosten von MinIO sind etwas niedriger als die Kosten für eine vergleichbare S3-Speicherung (ohne Hostingkosten), aber für die Kunden ist der Nutzen nicht sehr hoch. Wir versuchen jetzt, den Status quo aufrechtzuerhalten und zu sehen, ob die Community um den Quellcode herum weiterwachsen kann.
Ich bin kein Fanatiker der "Freien Software", ich bin MinIO wirklich dankbar für die bisherigen Bemühungen und dass es viele Geschäftsmodelle ermöglicht hat. Aber es scheint, dass sie jetzt aufhören, bei diesen Projekten mitzuwirken. Ich wette, dass das nächste Jahr die letzte Open-Source-Version veröffentlicht wird.
Obwohl das MinIO-Team später erklärte, dass der Stopp der Docker-Image-Verteilung nichts mit den CVE-Sicherheitslücken zu tun habe und eine bereits geplante Anpassung sei. Es war nur eine Übereinstimmung, dass die Veröffentlichung mit den Sicherheitsupdates zusammenfiel, was zu Missverständnissen führte.
Die Entwickler waren jedoch nicht davon überzeugt.
Einige sagten: "Nachdem die Konsole-Funktionen stillschweigend entfernt wurden, wird jetzt auch die Docker-Image-Verteilung eingestellt. Wir haben auf RustFS umgestellt."
In der Community wurden sogar Forderungen nach einem Fork des Projekts oder einem Wechsel zu anderen S3-kompatiblen Lösungen laut.
Andere kritisierten die Management-Strategie von MinIO: "Dies ist ein typisches Beispiel - ein Unternehmen entwickelt eine hervorragende Open-Source-Software, verteilt sie kostenlos, kann aber nicht profitieren und beginnt dann, die Benutzer zu belasten, indem es plötzlich kostet. Das ist wie eine 'Schutzgebühr'."
Einige Benutzer fragten:
Warten Sie mal... Werden Sie wirklich die offizielle MinIO-Docker-Image mit über 1 Milliarde Downloads einstellen?
Ich verstehe, dass Sie Ihre Gründe haben, aber ich kann nicht verstehen, warum jemand glauben könnte, dass es für das Unternehmen gut ist, einen so beliebten Veröffentlichungskanal aufzugeben.
Wurde dies vor der Veröffentlichung offiziell angekündigt?
Außerdem ist der Zeitpunkt wirklich schlecht... Sie hätten warten können, bis die Reparaturversion oder die Funktionsupdateversion veröffentlicht wurde. Aber Sie haben sich entschieden, es genau in der Mitte einer schwerwiegenden Sicherheitslückenbehebung zu tun. Das ist zu hart.
Jedenfalls danke für Ihre bisherigen Beiträge - ich werde jetzt einen Fork erstellen und es selbst kompilieren.
Andere stellten sich jedoch für die Entwickler ein:
"Die kostenlose Bereitstellung von offiziellen Container-Images erfordert auch Zeit und Ressourcen. Aus kommerzieller Sicht ist es sinnvoll, die kostenlose Unterstützung zu reduzieren."
"Entwickler müssen auch leben. Wenn es keine ausreichenden Spenden und Unterstützung gibt, müssen sie Entscheidungen treffen. Dies ist eigentlich ein Konflikt zwischen Idealismus und Realität."
"Obwohl es nicht richtig war, dass sie nicht im Voraus ankündigten, ist es verständlich, dass das Unternehmen sich kommerzialisiert, wenn tatsächlich jemand mit kostenloser Open-Source-Software Cluster mit Hunderten von Petabytes aufbaut."
Wir erleben hier eigentlich einen Konflikt zwischen Idealismus und Realität: MinIO bietet ein hochleistungsfähiges, kostenloses Open-Source-Software, aber die kontinuierliche Wartung der Images und der Dokumentation erfordert Kosten. Das Unternehmen muss zwischen Open-Source und Kommerzialisierung wählen. Zwischen dem Ideal der Open-Source-Software und der kommerziellen Realität besteht immer ein feiner Gleichgewicht.
Was halten Sie davon?
Referenzen:
https://news.ycombinator.com/item?id=45665452
https://github.com/minio/minio/issues/21647#issuecomment-3418675115
https://www.reddit.com/r/selfhosted/comments/1ocggb6/minio_moving_to_a_source_only_distribution/
https://gigazine.net/gsc_news/en/20251023-mineo-stops-distributing-free-docker-images
Dieser Artikel stammt aus dem WeChat-Account „CSDN“, bearbeitet von Tu Min, veröffentlicht von 36Kr mit Genehmigung.