MinIO stellt die Verteilung kostenloser Docker-Images ein

 (github.com/minio)
3 Punkte von GN⁺ 2025-10-23 | 3 Kommentare | Auf WhatsApp teilen
  • Die Object-Storage-Software MinIO stellt die Verteilung offizieller Docker-Images ein, was in der Community auf wachsenden Widerstand stößt
  • Die Einstellung erfolgte ohne Vorankündigung direkt nach einem Patch für Sicherheitslücken (CVE), wodurch in vielen Installationsumgebungen mit automatischen Updates die Sorge entsteht, dass sie Sicherheitsrisiken ausgesetzt werden
  • Nutzer kritisieren einen Vertrauensverlust bei Open Source sowie eine Lock-in-Strategie für Unternehmenskunden; Diskussionen über eigene Builds oder Fork-Projekte breiten sich aus
  • Einige Nutzer verweisen auf die „Kommerzialisierungstendenz von VC-finanzierten Open-Source-Projekten“ und erwähnen wie im Fall von nextCloud mögliche Community-Alternativen
  • MinIO erklärte, die Entscheidung sei „bereits vor den Sicherheitsproblemen getroffen worden und betreffe lediglich den Stopp der Docker-Builds“, die Kontroverse hält jedoch an

Einstellung der Verteilung von MinIO-Docker-Images

  • Das MinIO-Team hat angekündigt, die Bereitstellung offizieller Docker-Images einzustellen, was eine Kontroverse ausgelöst hat
    • Das bisherige Image war beliebt und wurde mehr als 1 Milliarde Mal heruntergeladen
    • Community-Nutzer kritisieren, „eine solche Entscheidung zu einem Zeitpunkt zu treffen, an dem Sicherheitsupdates ausbleiben, sei unangemessen“

Widerstand in der Community und wachsendes Misstrauen

  • Nutzer sehen die Maßnahme als ohne Vorankündigung erfolgten ‚Rug Pull‘
    • Es wird kritisiert, dies sei eine „strategische Entscheidung zur Bindung von Unternehmenskunden“
    • Zudem heißt es, MinIO bewege sich „durch die Entfernung von OIDC-Code, das Ende von Docker und Ähnliches schrittweise in eine geschlossenere Richtung“
  • Manche reagieren mit Aussagen wie: „Ich nutze und empfehle das seit 6 Jahren, aber jetzt kann ich ihm nicht mehr vertrauen

Sicherheits- und Update-Probleme

  • Die Community warnt, dass durch das Ende automatischer Updates zahlreiche Installationsumgebungen keine Patches für Sicherheitslücken mehr erhalten werden
    • Automatische Update-Systeme wie Watchtower funktionieren nicht mehr
    • Dadurch könnten kleine Homeserver, Community-Dienste und ähnliche Umgebungen langfristig Sicherheitsrisiken ausgesetzt sein

Kommerzialisierungskontroverse und Erosion von Open-Source-Werten

  • Nutzer weisen auf einen „Trend bei VC-finanzierten Open-Source-Unternehmen hin, die die Community ausgrenzen und auf kostenpflichtige Modelle umschwenken
    • Dokumentation und Anleitungen empfehlen weiterhin die Nutzung von Docker, doch in den betreffenden Images verbleiben nicht gepatchte CVEs
    • Es wurde vorgeschlagen, „im README eine Sicherheitswarnung deutlich zu vermerken und den DockerHub-Button zu entfernen“
  • Einige argumentieren, „die Kosten für automatische Builds über GitHub Actions lägen faktisch nahe null“, und bezeichnen die Maßnahme als „böswillige Entscheidung“

Unterschiedliche Reaktionen und Fazit der Debatte

  • Einige Entwickler kritisierten die heftige Reaktion mit dem Hinweis, man könne „es einfach selbst bauen“, worauf viele entgegneten, dass wiederholte Custom-Builds in Unternehmensumgebungen Kosten verursachen
    • Es wurde die Ansicht geäußert: „Open Source verpflichtet niemanden zu etwas, aber wenn die kommerzielle Absicht klar ist, ist mangelnde Transparenz das Problem
  • MinIO erklärte, die Diskussion sei „nicht konstruktiv“ und sperrte das Issue und schloss es

Verwandte Beiträge

3 Kommentare

 
t7vonn 2025-10-23

Auf geht's, rustfs
 
kimjoin2 2025-10-23

„In Unternehmensumgebungen verursachen wiederholte Custom-Builds Kosten“
VS
„Die Kosten für automatische Builds über GitHub Actions liegen faktisch nahe bei null“

Haha
 
GN⁺ 2025-10-23
Hacker-News-Kommentare
  • Vor ein paar Wochen habe ich eine Ankündigung von MinIO gesehen, dass die Dokumentationsarbeit an der Open-Source-Codebasis eingestellt wurde. Am 10. Oktober hieß es in Slack: „Die Dokumentationsseiten unter docs.min.io/community wurden heute Morgen abgeschaltet und werden, wenn möglich, auf die AIStor-Dokumentation umgeleitet.“ Auch das Repository minio/docs wurde seit zwei Wochen nicht mehr aktualisiert und es sieht nicht so aus, als würde sich das ändern. Als ich im Februar einen MinIO-Cluster aufgebaut habe, war das insgesamt einfach, an manchen Stellen aber auch schwierig. Wichtige Installationshinweise fanden sich teils nur noch in GitHub-Kommentaren, die auf Dateien verwiesen, die schon vor Jahren gelöscht wurden. Dieses Jahr bauen wir einen Cluster im Bereich von 100 PB aus, aber der Supportpreis liegt fast auf dem Niveau von S3-Storage und beinhaltet die tatsächlichen Hosting-Kosten nicht einmal. Das wirkt für den Kunden nicht wie ein großer Mehrwert, und wir sind nun gezwungen, uns auf das zu verlassen, was noch übrig ist. Ich bin MinIO für seinen Beitrag zur Welt und zum Geschäft dankbar, aber dieser Beitrag wird jetzt eingestellt, und nächstes Jahr wird es wohl das letzte Open-Source-Release geben. Es wurde auch angeboten, sich zu melden, falls die Supportkosten bei der Nutzung von MinIO zu hoch seien
    • Dass die Supportkosten fast so hoch wie S3-Storage sind, halte ich wirklich für absurd. Ich denke, man sollte Vergleichsangebote von Anbietern wie NetApp oder Dell einholen. Ich habe das zuletzt zwar nicht gemacht, aber vor ein paar Jahren war es noch etwa halb so teuer wie S3, Hosting inklusive
    • Schwerwiegender als das Verstecken vorgefertigter Images wirkt auf mich, dass die Open-Source-Dokumentation komplett entfernt wurde. Es wäre gut, die Installationshinweise auch an anderer Stelle als nur in GitHub-Kommentaren zu sammeln und zu hinterlegen
    • Mich hat auch sehr geärgert, dass die Konsole während eines Upgrades ohne Vorankündigung entfernt wurde. Vor etwa einem Monat habe ich angefangen, nach Alternativen zu MinIO zu suchen, und bin auf RustFS gestoßen. Ich teste es seit über einem Monat, und es wird ständig besser. Die Community behebt Bugs auch unglaublich schnell. Ich wünschte, YC hätte in diese Firma investiert
    • Im Rückblick denke ich, es war vielleicht gut, dass ich nicht als Verantwortlicher für die Support-Dokumentation zu MinIO gegangen bin
    • Wenn man sieht, dass ein 100-PB-Cluster gebaut wird und dabei kaum Umsatz entsteht, kann ich nachvollziehen, warum MinIO solche Entscheidungen trifft. Ich frage mich, ob es wie Redis „valkeyed“ wird, auch wenn AWS wohl nicht der Akteur wäre
  • MinIO hatte bereits alle nützlichen Funktionen aus der Web-UI der Community Edition entfernt und das mit schwieriger Wartung begründet. Auch diesmal wirkt es wie ein weiteres Beispiel dafür, dass VC-finanzierte Firmen erst wachsen und dann die Leiter wegziehen
    • Nachfrage, welche Leiter denn weggezogen worden sei. Wenn man den letzten funktionierenden Commit forkt, könnte daraus ein Wettbewerber entstehen, also solle man selbst aktiv werden
    • Ob das wirklich nur ein Vorwand ist: Wartung kostet nun einmal Geld, und bei früheren Versionen gemäß Lizenz kann man die Dinge selbst anpassen und nutzen. Die Vorstellung, dass Open Source lebenslang kostenlose Updates und Support garantiere, ist aus meiner Sicht fast eine Illusion. So etwas erlebt man auch oft bei Open-Source-Projekten ohne Firma dahinter. Maintainer brennen leicht aus und bekommen von allen Seiten nur Forderungen nach kostenlosen Updates, aber kaum Gegenleistung
    • Man muss sich des Risikos bewusst sein, dass VC-finanzierte Dienste weder stabilen Support noch kostenlose Vorteile garantieren
  • Bei einem Open-Source-Projekt frage ich mich, warum sich Leute überhaupt darüber beschweren sollten, dass sie keine kostenlosen Docker-Images mehr bekommen. Wenn die Nachfrage groß genug ist, wird irgendeine vertrauenswürdige Person das automatisieren und Docker-Images bauen. Eher stört mich, dass auf der Preisseite von Min.io keine Preise stehen. Nach dem, was man bei Wettbewerbern wie Cloudian sieht, liegt es bei mindestens 96.000 US-Dollar pro Jahr und ist damit kaum günstig zu nennen (Cloudian ist ein proprietäres Produkt)
    • Wenn ein Projekt über lange Zeit Docker-Images öffentlich verteilt, verlassen sich Nutzer darauf und entscheiden sich auch deshalb dafür. Gerade in einer Situation mit Sicherheitslücken (CVEs) fühlt es sich fast böswillig an, die Image-Verteilung ohne jede Ankündigung einzustellen und nur vier Tage vorher still einen Commit im README zu hinterlassen. Wenn man sich wirklich um die Community kümmern würde, hätte es eine Vorankündigungsfrist, eine Ankündigung im Repo, einen Migrationspfad oder Richtlinien zur Unterstützung von Community-Maintainern geben müssen. Stattdessen wurde es stillschweigend geändert und danach ohne Erklärung geschwiegen. Trotz einer größeren Schwachstelle wurden nicht einmal Images mit dem Sicherheitsfix veröffentlicht. Das ist verantwortungslos
    • Ich finde, MinIO ist nicht wirklich Open Source, sondern eher nur Source Available. Ich hatte früher einmal eine MinIO-Instanz betrieben und wurde dann vom Rechtsteam von MinIO kontaktiert, das mit einer Klage wegen Verstoßes gegen die Open-Source-Lizenz drohte, weil „das Injizieren einer Konfigurationsdatei ebenfalls eine Quellcodeänderung“ sei. Hier sind ein paar zugehörige HN-Threads: 35328316, 32148007
    • Ich bin müde von der Behauptung, dass man sich nur deshalb über nichts beschweren dürfe, weil etwas Open Source ist. MinIO verschiebt Funktionen, die als Teil des Open-Source-Angebots bereitgestellt wurden, lange Zeit später in einen kostenpflichtigen oder nichtkommerziellen Bereich, und aus Sicht derjenigen, die das genutzt haben, ist Enttäuschung völlig nachvollziehbar. Ich halte Beschwerden daher für vollkommen vernünftig
    • Ein solches Vorgehen kann als Schwächung der Community wahrgenommen werden. Vielleicht steigt die Konversionsrate zu kostenpflichtigen Angeboten, wenn man es absichtlich unkomfortabel macht, aber es wäre besser gewesen, den Unterschied zwischen Open Source und kommerziellem Produkt von Anfang an klar zu machen
    • Natürlich hat MinIO das Recht, den Bau von Docker-Images einzustellen, aber die Nutzer haben genauso das Recht, sich nach Alternativen umzusehen und zu gehen. Wenn ein Unternehmen Funktionen entfernt, würde ich es auch nicht mehr nutzen wollen
  • Ich halte das eigentlich nicht für ein großes Problem. Es gibt bereits Alternativen, weil andere wie Bitnami weiterhin öffentliche MinIO-Images pflegen. Nach der MinIO-Lizenz könnte man vielleicht selbst so etwas noch untersagen, aber statt offizieller Images gibt es auch viele kompatible Images. MinIO scheint sehr stolz auf das eigene Produkt zu sein. Als S3-kompatibler Object Storage ist es nützlich, aber nicht die einzige Option. Je unbequemer die Nutzung wird, desto leichter entstehen Ersatzlösungen. Firmen, die beliebte Open-Source-Produkte abschotten, schießen sich damit oft selbst ins Knie. Bei Hashicorp geschah das mit Terraform, woraufhin die Community zu Klonen wie OpenTofu wechselte. Redis wurde durch Valkey ergänzt, MySQL durch MariaDB, OwnCloud durch Nextcloud ersetzt. Der Unternehmensmarkt, in dem Supportverträge nötig sind, bleibt vielleicht bestehen, aber der Zustrom neuer Kunden bricht weg. Es gibt keinen guten Grund, ein geschlossenes kommerzielles Produkt ohne Community zu nutzen. Dieses Verhalten von MinIO schadet MinIO selbst
    • Es hieß zwar, dass öffentliche MinIO-Images bei Bitnami und anderen weiter verfügbar bleiben könnten, aber auch das soll bald eingestellt werden. Hinweise dazu: Bitnami-Änderungsankündigung, HN-Post
  • Kein vollständiger Ersatz, aber Garage wurde in anderen HN-Beiträgen schon als gute Alternative genannt Garage
    • Ich denke, es ist eine ausreichend gut selbst hostbare Alternative. Gegenüber MinIO fehlt an einigen Stellen etwas und die Kompatibilität ist nicht perfekt, aber für die meisten Anwendungen passt es gut
    • Bei Garage gibt es ziemlich viel einzurichten, das ist etwas umständlich
    • Ceph hat auch eine eigene S3-kompatible Object-Storage-Funktion Ceph Object Gateway
    • if-match wird nicht unterstützt
  • Ich finde, der Titel des HN-Einreichungsbeitrags ist irreführend. Er könnte so wirken, als hätte MinIO echtes Open Source aufgegeben, und dadurch wirkt das Problem größer, als es ist. Ein Titel wie „MinIO stellt die Verteilung kostenloser Docker-Images ein“ wäre treffender. Siehe dazu das README
    • Ich habe den Titel wie vorgeschlagen geändert
    • Zur Einordnung: Der ursprüngliche Titel war „minio went source-only“. Für Gentoo-Nutzer ist das kein großes Problem
    • Ich habe den Titel anfangs auch missverstanden. Interessant ist es zwar, aber das Missverständnispotenzial des Titels ist definitiv hoch
  • Wir verwenden MinIO in Kundensystemen und bauen und veröffentlichen daher unseren eigenen Nightly-Build-Prozess minio-builds. Wer will, kann das forken und nutzen. Beispiel: 
    docker run -p 9000:9000 -p 9001:9001 ghcr.io/golithus/minio:latest
    • Zur Info: Das Dockerfile dieses Repositories ist nur 19 Zeilen lang und kopiert einfach das Binary Dockerfile. Wartung und Tests sind auch nicht schwierig, daher müssen die MinIO-Maintainer nicht unbedingt kostenlos Docker-Images verteilen, und wenn man sie braucht, kann man es auch selbst tun
    • Mich würde interessieren, wie ihr bei der Auslieferung von Software unter AGPL-Lizenz die Lizenz-Compliance-Prüfung auf Kundenseite handhabt. Ich hatte schon Fälle, in denen Kunden andere Lizenzen wie MPL abgelehnt haben, deshalb würden mich praktische Erfahrungen interessieren
  • Ich kann in dieser Debatte beide Seiten nachvollziehen
    1. MinIO ist ein Unternehmen und hat gegenüber anderen keine Pflicht zur Unentgeltlichkeit
    2. Nutzer der OSS-Version haben ebenso das Recht, ihren Unmut zu äußern Wenn man eine nicht refinanzierbare OSS-Version als Marketinginstrument nutzt, bricht das Vertrauen der Community natürlich weg und damit sinkt auch die Wirkung. Das ist letztlich dasselbe Problem wie bei Content-Marketing oder Influencer-Marketing: Der eigentliche Kern verwässert
    • Jeder sollte als selbstverständlich verstehen, dass ein gewinnorientiertes Unternehmen Open-Source-Beiträge nicht fortführt, wenn sie dem eigenen Geschäft nicht helfen. Bei VC-finanzierten Firmen sind Monetarisierung oder Einschränkungen irgendwann unvermeidlich. Wenn man langfristig auf unternehmensgetragene OSS angewiesen ist, muss man die Möglichkeit künftiger Kostenpflicht unbedingt mit einkalkulieren und das Geschäftsmodell verstehen. Bei VC-getriebenen Firmen kann es auch zu abrupten Stopps oder Kurswechseln kommen, daher sollte man Dinge meiden, die man über Jahre zwingend braucht
    • Ich stimme den oben genannten Punkten zu. Dass MinIO die Verteilung kostenloser Docker-Images eingestellt hat, ist an sich aus meiner Sicht nicht das eigentliche Problem. Selbst wenn man Images baut, sind Infrastruktur- und Personalkosten dafür nicht besonders hoch, und die Community oder andere Anbieter können das gut übernehmen. Es gab bereits Alternativen in anderen Projekten wie Bitnami. Das grundlegende Problem ist vielmehr dieses Handlungsmuster. Aus der Community Edition wurde die Web-UI mit dem Vorwand „schwer zu warten“ entfernt, und auch die Dokumentation wird vernachlässigt. Nur wurde so etwas stillschweigend hingenommen, bis die Debatte beim Thema Docker-Images eskalierte. Nicht einmal minimale Maßnahmen wie Sicherheitsfix-Images wurden bereitgestellt. Am Ende entsteht der Eindruck, dass die Community vernachlässigt wird und der Fokus nur noch auf Erlösen liegt, und dass sogar das Vertrauen verspielt wird, das man sich durch frühere Versprechen aufgebaut hatte
  • Wir bereiten derzeit einen Binary-Build-Prozess vor und werden ihn bald bei golithus veröffentlichen. Wir nutzen die MinIO Community Edition häufig, rechnen aber damit, dass wir sie künftig seltener selbst ausrollen werden. Für kleine Deployments wollen wir Garage testen, für große Deployments die Kombination aus Ceph/Rook. Ich würde auch gern praktische Erfahrungen mit Garage hören, besonders in Multi-PiB-Umgebungen
    • Der Build-Prozess ist inzwischen fertig und wird unter minio-builds verteilt
    • Die Entwickler von Garage sagten, es gebe große produktive Installationen mit über 10 PiB, aber ich habe das nicht selbst erlebt. Am besten fragt man im Matrix-Chat nach
  • Wenn man sich die jüngste README-Änderung ansieht, wurde der Text von „Für das MinIO-Repository sind keine geplanten Releases vorgesehen; bei Bedarf kann ohne Vorankündigung veröffentlicht werden“ zu „Die Community Edition wird nun nur noch als Quellcode verteilt“ geändert. Mit anderen Worten: Man sagt zwar, das Open-Source-Projekt selbst werde nicht eingestellt, aber die Binary-Verteilung wird auf Kunden beschränkt README-Änderungsverlauf