MinIO、無料のDockerイメージ配布を中止

 (github.com/minio)
3 ポイント 投稿者 GN⁺ 2025-10-23 | 3件のコメント | WhatsAppで共有
  • オブジェクトストレージソフトウェア MinIOが公式Dockerイメージの配布を中止し、コミュニティ内で反発が強まっている
  • セキュリティ脆弱性(CVE) のパッチ直後に予告なく中止されたため、自動更新を利用する多数の導入環境が セキュリティリスク にさらされる懸念が提起されている
  • 利用者は オープンソースへの信頼低下企業顧客ロックイン戦略 を批判し、自前ビルドやフォークプロジェクトの議論が広がっている
  • 一部のユーザーは「VC資金支援を受けたオープンソースの商業化傾向」を指摘し、nextCloudの事例のようにコミュニティ代替プロジェクトの可能性に言及している
  • MinIO側は「セキュリティ問題以前にすでに決まっていた事項で、単にDockerビルドを中止しただけ」と説明したが、議論は続いている

MinIO Dockerイメージ配布中止

  • MinIOチームが 公式Dockerイメージの提供を中止 すると明らかにし、議論が起きている
    • 既存のイメージは10億回以上ダウンロードされた人気イメージだった
    • コミュニティユーザーは「セキュリティアップデートが止まった時点での決定は不適切だ」と批判している

コミュニティの反発と不信の拡大

  • ユーザーは今回の措置を 事前告知なしで行われた『ラグプル(rug pull)』 と見ている
    • 「企業顧客ロックインのための戦略的決定だ」との批判が出ている
    • 「OIDCコード削除、Docker中止などで徐々にクローズドな方向へ転換している」という指摘もある
    広告
  • 一部では「6年間使い続けて推薦してきたが、もう信頼できない」との反応も見られる

セキュリティとアップデートの問題

  • コミュニティは、自動更新の停止により 膨大な導入環境が脆弱性パッチを受け取れなくなる と警告している
    • Watchtowerなどの自動更新システムが今後は動作しない
    • その結果、小規模なホームサーバーやコミュニティサービスなどが長期的にセキュリティリスクにさらされる可能性がある
広告

商業化論争とオープンソース価値の毀損

  • 利用者は「VC支援を受けたオープンソース企業がコミュニティを排除し、有料化へ転換していく流れ」を指摘している
    • ドキュメントやガイドはいまもDocker利用を推奨しているが、そのイメージには 未修正のCVE が残っている
    • 「READMEにセキュリティ警告を明記し、DockerHubボタンを削除すべきだ」との提案も出ている
  • 一部では「GitHub Actionsによる自動ビルドのコストは事実上0に近い」として、今回の措置を「悪意ある決定」と規定している

さまざまな反応と議論の結末

  • 一部の開発者は「自分でビルドすればよい」として過剰な反発を批判したが、多くは「企業環境では反復的なカスタムビルドはコストを生む」と反論している
    • 「オープンソースは誰に対しても義務を負わないが、商業的意図が明確な場合は 透明性の欠如が問題 だ」との意見が示された
  • MinIO側は議論が「建設的ではない」として、issueを ロックして終了 した

関連記事

3件のコメント

 
t7vonn 2025-10-23

RustFS、いこう
 
kimjoin2 2025-10-23

「企業環境では反復的なカスタムビルドがコストを発生させる」
VS
「GitHub Actionsによる自動ビルドのコストは、実質的に0に近い」
 
GN⁺ 2025-10-23
Hacker News の意見
  • 数週間前に、MinIO がオープンソースコードベースのドキュメント整備をやめたという告知を見た。10月10日に Slack で「docs.min.io/community のドキュメントサイトは今朝停止され、可能であれば AIStor のドキュメントへリダイレクトする予定」と述べていた。minio/docs リポジトリも 2 週間更新がなく、今後も更新されないように見える。2月に MinIO クラスターを構築した際、全体としては簡単だったが、一部は難しかった。重要なインストールのコツが、何年も前に削除されたファイルに言及する GitHub コメントにしか残っていないこともあった。今年は 100PB 級クラスターを拡張構築しているが、サポート料金は S3 ストレージとほぼ同じで、しかも実際のホスティング費用は含まれていない。顧客にとって大きな価値として映らず、今あるものに頼るしかない状況だ。MinIO のこれまでの貢献と事業には感謝しているが、こうした貢献は今や止まりつつあり、来年にはオープンソースの最終リリースが出るのではないかと思う。もし MinIO を使っていてサポート費用が負担なら連絡してほしい、とも提案している
    • サポート費用が S3 ストレージとほぼ同じというのは本当にあり得ないと思う。NetApp や Dell のようなところから競争見積もりを取るべきだ。最近はやっていないが、数年前までは S3 より半額ほど安かった(ホスティング費込みで)
    • 事前ビルド済みイメージを隠すことより、オープンソースのドキュメントを丸ごと消したことの方が深刻に感じる。インストールのコツを GitHub コメント以外の場所にも整理して残してほしい
    • 自分もアップグレード中にコンソールが予告なく削除されたのを見て強い不満を感じた。1か月ほど前から MinIO の代替を探していて RustFS を見つけ、1か月以上テストしているが着実に改善している。コミュニティもバグをものすごく速く直している。YC がこの会社に投資してくれたらと思う
    • 振り返ると、MinIO にサポート文書担当として加わらなかったのはむしろ幸運だったのかもしれないと思う
    • 100PB クラスターが作られているのに収益がほとんど出ていないのを見ると、MinIO がこういう選択をする理由は理解できる。Redis のように「valkeyed」されるのだろうかと気になる(AWS がその主体にはならないと思うが)
  • MinIO は以前、コミュニティエディションの Web UI から有用な機能をすべて取り除き、その理由として保守が大変だと言っていた。今回も、VC 資金を受けた企業がまず成長してから梯子を外す例だと受け取っている
    • どの梯子を外したのか、という質問。最後の正常なコミットをフォークすれば競合を作れるのだから、自分でやればいいという意見
    • それが言い訳かどうかについて言えば、保守そのものにコストはかかるし、ライセンス上、以前のバージョンは自分で修正して使える。オープンソースには無料アップデートやサポートが永久に保証される、というのは幻想に近い。企業が関与していないオープンソースプロジェクトでも同じようなことはよくある。メンテナーは簡単に疲弊し、あちこちから無料アップデートを求められるばかりで、見返りはほとんどない
    • VC 資金を受けたサービスには、安定したサポートも無料特典も保証されないというリスク認識が必要だ
  • オープンソースプロジェクトなら、人々が無料の Docker イメージを受け取れないと不満を言う理由はないのでは、と疑問に思う。需要が十分あれば、誰か信頼できる人が自動化して Docker イメージを作ってくれるはずだ。むしろ Min.io の価格ページに価格が載っていないことの方が不満だ。Cloudian の競合比較の内容を見る限り、年額 $96,000 以上で、安いとは言えない(Cloudian はクローズド製品)
    • 長年 Docker イメージを公開配布していれば、ユーザーはその事実を前提に選ぶようになる。特にセキュリティ脆弱性(CVE)がある状況で、予告もなく、わずか 4 日前に README へひっそりコミットしただけでイメージ配布を止めたのは、ほとんど悪意すら感じる。本当にコミュニティのためを思うなら、予告期間を設け、リポジトリ内の告知や移行パス、コミュニティメンテナーを支援する方針などがあるべきだった。しかし今回は静かに変更し、説明もなく沈黙している。重大な脆弱性があったにもかかわらず、脆弱性修正済みのイメージすら配布していない。無責任だ
    • MinIO は本当の意味でオープンソースというより、単にソース公開にすぎないと思う。以前 MinIO インスタンスを動かしたところ、「設定ファイルの注入もソース変更に当たる」として、オープンソースライセンス違反で訴えるという MinIO 法務チームから連絡を受けた。関連する HN スレッドをいくつか残しておく: 35328316, 32148007
    • オープンソースだからという理由で、何に対しても不満を述べてはいけないという主張にはうんざりしている。MinIO がオープンソースの一環として提供していた機能を、かなり後になってから有料または非商用の領域へ移したのだから、使っていた側が失望するのは当然だ。不満を持つのは十分に合理的だと思う
    • こうした動きはコミュニティ弱体化と受け取られかねない。意図的に不便にすれば有料転換率は上がるだろうが、オープンソース版と商用製品の違いは最初から明確にしてほしい
    • Docker イメージのビルドをやめる権利があるのは確かだが、ユーザーにも代替を探して離れる権利がある。機能を削った会社なら、自分も使いたくない
  • 実際のところ大きな問題ではないと思う。すでに Bitnami のような別のところが Minio の公開イメージを維持しているので、代替は存在する。Minio のライセンス上、こうしたことも止められるかもしれないが、公式イメージの代わりになる互換イメージも多い。Minio は自社製品への自負が強すぎるように思える。S3 互換オブジェクトストレージとして使う価値はあるが、唯一の選択肢ではない。使うほど不便になれば、代替は簡単に生まれる。人気のあるオープンソース製品を閉じようとする企業は、いつも自滅的な一手を打つ。Hashicorp では Terraform がそうで、コミュニティは OpenTofu のようなクローンへ移った。Redis は Valkey、MySQL は MariaDB、OwnCloud は Nextcloud に置き換えられた。サポート契約が必要な企業市場は残っても、新規顧客の流入経路は壊れる。コミュニティのないクローズド商用製品をわざわざ使う理由はない。MinIO のこうした動きは自分で自分を損ねている
    • Bitnami などが公開 MinIO イメージを引き続き提供できると言われていたが、それもまもなく終了予定だ。関連案内: Bitnami 変更告知, HN 投稿
  • 完全な代替ではないが、Garage という代替案は別の HN 投稿で高く評価されていたことがある Garage
    • 十分にセルフホスト可能な代替だと思う。MinIO より一部足りないところや完全互換ではない部分はあるが、多くのアプリケーションにはよく合う
    • Garage は設定項目がやや多くて面倒だ
    • Ceph には独自の S3 互換オブジェクトストレージ機能もある Ceph Object Gateway
    • if-match はサポートしていない
  • HN 投稿のタイトルは誤解を招くと感じる。まるで MinIO が本当にオープンソースを放棄したかのように見えてしまい、より大きな問題に感じられるからだ。「MinIO、無料 Docker イメージ配布を中止」の方が適切だと思う。関連する README を参照してほしい
    • 提案どおりタイトルを修正した
    • ちなみに元のタイトルは 'minio went source-only' だった。Gentoo ユーザーとしては大した問題ではない
    • 自分も最初はタイトルを誤解した。興味深くはあるが、確かに誤解を招きやすいタイトルだ
  • 私たちは顧客環境で MinIO を使っているため、夜間ビルドのプロセスを自前で作って配布している minio-builds。必要ならフォークして使ってよい。例: 
    docker run -p 9000:9000 -p 9001:9001 ghcr.io/golithus/minio:latest
    • 参考までに、このリポジトリの Dockerfile は単にバイナリをコピーするだけの 19 行のものだ Dockerfile。保守やテストも難しくないので、MinIO 運営があえて無料で Docker イメージを配布しなくてもよく、必要なら自分でできる
    • AGPL ライセンスのソフトウェアを納品する際、顧客側のライセンス準拠確認をどう処理しているのか気になる。別ライセンス(MPL など)でも顧客に拒否されたことがあるので、実例を聞いてみたい
  • この議論は両方の主張が理解できる
    1. MinIO はビジネスであり、他人に無償の義務はない
    2. OSS 版の利用者にも不満を表明する自由はある もし補償されない OSS をマーケティング手段として使っていたなら、当然コミュニティの信頼は崩れ、その効果も弱まる。コンテンツマーケティングやインフルエンサーマーケティングと同じで、結局は本質が薄れていく問題だ
    • 営利企業によるオープンソースへの貢献は、自社ビジネスに役立たなければ続かないという点を、誰もが当然のこととして理解すべきだ。VC 投資を受けた企業なら、いつか有料化や制限が入るのは必然だ。企業主導の OSS に長期依存するなら、将来の有料化の可能性まで必ず織り込み、ビジネスモデルを把握しておく必要がある。VC ベースなら突然の停止や転換もあり得るので、何年にもわたって必須となるものとして使うのは避けた方がよい
    • 先に挙げられた主張には同意する。MinIO が無料 Docker イメージの配布をやめたこと自体は、実は本質的な問題ではないと思う。イメージを作るだけならインフラや人件費はそれほど大きくなく、コミュニティや他社が十分引き継げる。Bitnami など他プロジェクトにも代替はあった。根本的な問題は、こうした行動パターンだ。コミュニティエディションから Web UI を「管理が難しい」という言い訳で外し、ドキュメントも面倒を見ない。ただ、こうした部分は静かに見過ごされてきて、Docker イメージ問題で一気に議論が大きくなった。脆弱性修正など最低限の対応すらしていない。結局のところ、コミュニティを軽視し収益に集中している姿、そして以前の約束で得た信頼さえ自ら投げ捨てている印象を与えている
  • 現在バイナリのビルドプロセスを準備しており、golithus でまもなく公開予定だ。MinIO コミュニティエディションをよく使っているが、今後は自分で配布する日が減るだろうと思う。小規模展開には Garage を、大規模展開には Ceph/Rook の組み合わせを試す計画だ。Garage の実運用経験も聞いてみたい(特に multi-PiB 環境で)
    • ビルドプロセスの構築は完了しており、minio-builds で配布している
    • Garage の開発者は 10PiB 超の大規模運用事例があると言っていたが、自分で経験したわけではない。Matrix チャットで問い合わせるのが最善だ
  • 最近の README 変更を見ると、MinIO は「MinIO リポジトリに予定されたリリースはなく、必要に応じて予告なくリリースする可能性がある」から、「今後コミュニティエディションはソースコードのみ配布」に変わったということだ。つまり、オープンソースプロジェクト自体は中止していないと言いつつ、バイナリ配布は顧客向けのものに限定しつつある README の変更履歴