MinIO, ücretsiz Docker imajı dağıtımını durdurdu

 (github.com/minio)
3 puan yazan GN⁺ 2025-10-23 | 3 yorum | WhatsApp'ta paylaş
  • Nesne depolama yazılımı MinIO'nun resmî Docker imajı dağıtımını durdurması, topluluk içinde büyüyen bir tepkiye yol açıyor
  • Güvenlik açığı (CVE) yamalarının hemen ardından, önceden duyuru yapılmadan durdurulması nedeniyle otomatik güncelleme kullanan çok sayıdaki kurulum ortamının güvenlik riski ile karşı karşıya kalabileceği belirtiliyor
  • Kullanıcılar, açık kaynak güveninin zedelenmesini ve kurumsal müşteri lock-in stratejisini eleştirirken, kendi derlemelerini yapma veya fork projeleri oluşturma yönündeki tartışmalar yayılıyor
  • Bazı kullanıcılar, "VC destekli açık kaynak projelerinin ticarileşme eğilimi"ne dikkat çekerek nextCloud örneğinde olduğu gibi topluluk temelli alternatif proje ihtimalinden söz ediyor
  • MinIO ise bunun "güvenlik sorunundan önce zaten alınmış bir karar olduğunu ve yalnızca Docker build'lerinin durdurulduğunu" söyleyerek açıklama yaptı, ancak tartışma sürüyor

MinIO Docker imajı dağıtımını durdurdu

  • MinIO ekibinin resmî Docker imajı sağlamayı durduracağını açıklamasıyla tartışma başladı
    • Daha önce 1 milyardan fazla kez indirilmiş popüler bir imajdı
    • Topluluk kullanıcıları, "güvenlik güncellemelerinin kesildiği bir anda alınan bu karar uygun değil" diyerek tepki gösteriyor

Topluluk tepkisi ve büyüyen güvensizlik

  • Kullanıcılar bu adımı, önceden duyuru yapılmadan gerçekleşen bir 'rug pull' olarak görüyor
    • Bunun "kurumsal müşterileri lock-in etmek için alınmış stratejik bir karar" olduğu yönünde eleştiriler var
    • "OIDC kodunun kaldırılması, Docker'ın durdurulması gibi adımlarla giderek daha kapalı bir yöne geçiliyor" değerlendirmesi yapılıyor
    Reklam
  • Bazıları, "6 yıldır kullanıp tavsiye ediyordum ama artık güvenemem" şeklinde tepki veriyor

Güvenlik ve güncelleme sorunu

  • Topluluk, otomatik güncellemelerin durması nedeniyle çok sayıda kurulum ortamının güvenlik açığı yamalarını alamayacağı uyarısında bulunuyor
    • Watchtower gibi otomatik güncelleme sistemleri artık çalışmıyor
    • Bu nedenle küçük home server kurulumları ve topluluk servisleri uzun vadede güvenlik riskine maruz kalabilir
Reklam

Ticarileşme tartışması ve açık kaynak değerlerinin aşınması

  • Kullanıcılar, "VC destekli açık kaynak şirketlerinin topluluğu dışlayıp ücretli modele yönelmesi eğilimi"ne dikkat çekiyor
    • Dokümantasyon ve rehberler hâlâ Docker kullanımını öneriyor, ancak ilgili imajlarda yamalanmamış CVE'ler bulunuyor
    • "README dosyasına güvenlik uyarısı eklenmeli ve DockerHub düğmesi kaldırılmalı" önerisi öne çıkıyor
  • Bazıları, "GitHub Actions üzerinden otomatik build maliyeti fiilen sıfıra yakındır" diyerek bu kararı "kötü niyetli bir karar" olarak nitelendiriyor

Farklı tepkiler ve tartışmanın sonucu

  • Bazı geliştiriciler, "kendiniz derlersiniz" diyerek aşırı tepkiyi eleştirse de çoğunluk, "kurumsal ortamlarda tekrar eden özel build süreçleri maliyet yaratır" diye karşı çıkıyor
    • "Açık kaynak kimseye bir zorunluluk yüklemez, ancak ticari niyet açıksa asıl sorun şeffaflık eksikliği" görüşü dile getiriliyor
  • MinIO tarafı, tartışmanın "yapıcı olmadığını" belirterek ilgili konuyu kilitleyip kapattı

İlgili okumalar

3 yorum

 
t7vonn 2025-10-23

rustfs hadi gidelim
 
kimjoin2 2025-10-23

"Kurumsal ortamlarda tekrarlanan özel derlemeler maliyet yaratır"
VS
"GitHub Actions üzerinden otomatik derleme maliyeti fiilen sıfıra yakındır"

haha
 
GN⁺ 2025-10-23
Hacker News görüşleri
  • Birkaç hafta önce MinIO'nun açık kaynak kod tabanının dokümantasyon çalışmalarını durdurduğunu belirten bir duyuru gördüm. 10 Ekim'de Slack'te, "docs.min.io/community dokümantasyon siteleri bu sabah kapatıldı, mümkünse AIStor dokümanlarına yönlendireceğiz" denildi. minio/docs deposu da 2 haftadır güncellenmiyor ve bundan sonra da güncellenmeyecek gibi görünüyor. Şubat ayında bir MinIO kümesi kurarken genel olarak kolaydı ama bazı noktalarda zordu. Kritik kurulum ipuçları bazen yalnızca yıllar önce silinmiş dosyalardan bahseden GitHub yorumlarında kalmıştı. Bu yıl 100PB sınıfında bir kümeyi genişletiyoruz; destek fiyatı S3 depolamayla neredeyse aynı ve buna gerçek barındırma maliyeti dahil değil. Müşteri açısından büyük bir değer gibi görünmüyor ve şu anda yalnızca elde kalanlara güvenmek zorundayız. MinIO'nun dünyaya katkıları ve işi için minnettarım ama artık bu katkı duruyor gibi ve gelecek yıl açık kaynak için son sürüm gelebilir gibi görünüyor. Ayrıca, MinIO kullanıp da destek maliyetini ağır bulanlar varsa iletişime geçmelerini teklif etti
    • Destek maliyetinin S3 depolamayla neredeyse aynı olması gerçekten saçma. NetApp ya da Dell gibi yerlerden rekabetçi teklif almak gerekir diye düşünüyorum. Yakın zamanda yapmadım ama birkaç yıl önce S3'ten yaklaşık yarı yarıya ucuzdu (barındırma dahil)
    • Önceden derlenmiş imajları gizlemekten daha ciddi olan şeyin açık kaynak dokümantasyonunu tamamen kaldırmak olduğu hissine kapılıyorum. Kurulum ipuçlarını GitHub yorumları dışında bir yerde de toparlayıp bırakmak iyi olurdu
    • Ben de yükseltme sırasında konsolun haber verilmeden kaldırıldığını görünce çok rahatsız oldum. Yaklaşık bir ay önce MinIO alternatifleri ararken RustFS'yi buldum; bir aydan uzun süredir test ediyorum ve sürekli iyileşiyor. Topluluk da hataları inanılmaz hızlı düzeltiyor. Keşke YC bu şirkete yatırım yapsa
    • Geriye dönüp bakınca MinIO'ya destek dokümantasyonu sorumlusu olarak katılmamış olmam belki de iyi olmuş diye düşünüyorum
    • 100PB'lik kümeler kurulurken neredeyse hiç gelir oluşmadığını görünce MinIO'nun neden böyle tercihler yaptığını anlayabiliyorum. Acaba Redis gibi “valkeyed” olur mu diye merak ediyorum (bunu yapacak tarafın AWS olacağını sanmıyorum)
  • MinIO, Community Edition web UI'dan tüm kullanışlı özellikleri kaldırırken bakımının zor olduğunu bahane etmişti. Bu da yine VC fonlu şirketlerin önce büyüyüp sonra merdiveni çekmesine bir örnek gibi görülüyor
    • Hangi merdivenin çekildiğini soran bir yorum. Son düzgün commit'ten fork'layıp rakip çıkarılabileceğine göre bunu kendin yapman gerektiği görüşü
    • Bunun gerçekten bahane olup olmadığına dair olarak, bakımın kendisinin maliyetli olduğu ve lisansın izin verdiği eski sürümlerin kişinin kendisi tarafından düzeltilip kullanılabileceği söyleniyor. Açık kaynakta ömür boyu ücretsiz güncelleme ve destek garantisi olduğu düşüncesi neredeyse bir yanılsama. Şirketi olmayan açık kaynak projelerinde de benzer durumlar sık yaşanıyor. Bakımcılar kolayca tükeniyor ve her yerden ücretsiz güncelleme talebi geliyor ama karşılığında neredeyse hiç ödül yok
    • VC fonlu hizmetlerde ne istikrarlı destek ne de ücretsiz avantajların garanti olduğu yönünde bir risk farkındalığına ihtiyaç var
  • Açık kaynak bir projeyse, insanların ücretsiz Docker imajı alamadıkları için şikâyet etmelerinin bir sebebi olmaması gerekmez mi diye düşünüyorum. Talep yeterliyse güvenilir biri bunu otomatikleştirip Docker imajı üretir. Ben daha çok Min.io sitesindeki fiyat sayfasında fiyat olmamasından şikâyetçiyim. Cloudian rakibiyle ilgili içeriklere bakınca bunun yıllık $96,000 üzeri olduğu anlaşılıyor; ucuz demek zor (Cloudian kapalı bir ürün)
    • Uzun süre Docker imajlarını herkese açık dağıtırsanız kullanıcılar buna güvenip ürününüzü seçer. Özellikle güvenlik açıkları (CVE) varken, hiçbir ön duyuru yapmadan ve sadece 4 gün önce README'ye sessizce bir commit bırakıp imaj dağıtımını kesmek neredeyse kötü niyetli hissettiriyor. Topluluğu gerçekten önemseselerdi bir geçiş süresi olurdu, depo içinde bir duyuru, migrasyon yolu ya da topluluk bakımcılarına yardımcı olacak bir politika olurdu. Ama burada sessizce değiştirip açıklama bile yapmadan sustular. Büyük bir açık varken yamalanmış imaj bile yayımlamadılar. Bu sorumsuzluk
    • MinIO'nun gerçekten açık kaynak olmaktan ziyade yalnızca source-available olduğunu düşünüyorum. Daha önce bir MinIO instance'ı çalıştırdım ve ardından MinIO hukuk ekibinden, “yapılandırma dosyası enjekte etmek de kaynak kod değişikliğidir” diyerek açık kaynak lisans ihlali davası açılacağı yönünde bir ileti aldım. İlgili birkaç HN başlığı: 35328316, 32148007
    • Sırf açık kaynak diye hiçbir şeye dair memnuniyetsizlik ifade edilmemesi gerektiği iddiasından yoruldum. MinIO'nun açık kaynak kapsamında sunduğu bazı özellikleri çok sonra ücretli/ ticari olmayan alana taşıması, bunları kullananlar açısından hayal kırıklığı yaratabilir. Şikâyet etmek gayet makul
    • Bu tür adımlar topluluğu zayıflatma olarak algılanabilir. Bilerek kullanım zorluğu yaratmak ücretli dönüşüm oranını artırabilir ama keşke açık kaynak ile ticari ürün arasındaki fark baştan net olsaydı
    • Docker imajı derlemeyi durdurma hakkı elbette var ama kullanıcıların da alternatif bulup ayrılma hakkı var. Özellik çıkaran bir şirketi ben de kullanmak istemem
  • Aslında bunun büyük bir sorun olduğunu düşünmüyorum. Bitnami gibi başka yerler zaten Minio için herkese açık imajları sürdürüyor, yani alternatifler mevcut. Minio lisansı teorik olarak bunu da engelleyebilir ama resmi imaj yerine kullanılabilecek uyumlu imajlar çok. Minio'nun kendi ürününe fazla hayran olduğu hissine kapılıyorum. S3 uyumlu bir nesne deposu olarak işe yarıyor ama tek seçenek değil. Kullanımı ne kadar zorlaşırsa yerine alternatif çıkması da o kadar kolay olur. Popüler açık kaynak ürünleri kilitleyen şirketler hep kendi ayağına sıkıyor. Hashicorp'ta Terraform böyle oldu ve topluluk OpenTofu gibi klonlara kaydı. Redis'in yerine Valkey, MySQL'in yerine MariaDB, OwnCloud'un yerine Nextcloud geldi. Destek sözleşmesi gerektiren kurumsal pazar kalsa bile yeni müşteri akışı bozuluyor. Topluluğu olmayan kapalı ticari bir ürünü kullanmak için özel bir neden yok. MinIO'nun bu gidişatı kendisine zarar veriyor
    • Bitnami vb. tarafından MinIO için herkese açık imajların sürdürülebileceği söylenmişti ama onların da yakında durdurulacağı belirtiliyor. İlgili duyurular: Bitnami değişiklik duyurusu, HN yazısı
  • Tam bir yerine geçme olmasa da Garage adlı alternatif başka HN başlıklarında olumlu yorumlar almıştı Garage
    • Kendi kendine barındırma için yeterince uygulanabilir bir alternatif olduğunu düşünüyorum. MinIO kadar yetkin değil ve tam uyumlu da değil ama çoğu uygulama için iyi çalışıyor
    • Garage'ın ayarlanacak şeyi biraz fazla, bu da uğraştırıcı
    • Ceph'in kendi S3 uyumlu nesne depolama özelliği de var Ceph Object Gateway
    • if-match desteği yok
  • HN gönderi başlığının yanıltıcı olduğunu düşünüyorum. Sanki MinIO gerçekten açık kaynaktan vazgeçmiş gibi anlaşılıyor, bu da olduğundan daha büyük bir sorun gibi hissettiriyor. "MinIO, ücretsiz Docker imajı dağıtımını durdurdu" gibi bir başlık daha doğru olurdu. İlgili README bağlantısına bakın
    • Önerildiği gibi başlığı düzelttim
    • Bu arada orijinal başlık 'minio went source-only' idi. Gentoo kullanıcısı olarak benim için büyük bir sorun değil
    • Ben de başlığı ilk başta yanlış anladım. İlgi çekici ama başlığın yanıltıcı olma ihtimali gerçekten yüksek
  • Müşteri ortamlarında MinIO kullanıyoruz, bu yüzden gece derleme sürecimizi kendimiz oluşturup dağıtıyoruz minio-builds. Gerekirse fork'layıp kullanabilirsiniz. Örnek: 
    docker run -p 9000:9000 -p 9001:9001 ghcr.io/golithus/minio:latest
    • Bilgi olsun diye, bu deponun Dockerfile'ı yalnızca binary kopyalayan 19 satırlık basit bir dosya Dockerfile. Bakımı/testi de zor değil; dolayısıyla MinIO ekibinin ücretsiz Docker imajı dağıtmak zorunda olmaması anlaşılır, gerekirse bunu insanlar kendileri de yapabilir
    • AGPL lisanslı yazılım teslim ederken müşteride lisans uyumluluğu incelemesini nasıl yönettiğinizi merak ediyorum. Başka lisanslar (MPL vb.) bile bazı müşteriler tarafından reddedildiği için gerçek bir örnek duymak isterim
  • Bu tartışmada iki tarafı da anlayabiliyorum
    1. MinIO bir işletme ve kimseye karşı ücretsiz yükümlülüğü yok
    2. OSS sürümü kullanıcılarının da memnuniyetsizliklerini dile getirme özgürlüğü var Karşılığı alınamayacak OSS, pazarlama aracı olarak kullanıldıysa topluluk güveninin çökmesi ve etkisinin azalması kaçınılmaz. İçerik pazarlaması ya da influencer pazarlaması gibi, sonuçta özün bulanıklaşması sorunu ortaya çıkıyor
    • Ticari bir şirketin, kendi işine yardımcı olmuyorsa açık kaynak katkılarını sürdürmeyeceğini herkesin doğal kabul etmesi gerekir. VC yatırımı almış bir şirkette bir gün ücretlendirme/kısıtlama geleceği neredeyse kaçınılmazdır. Şirket destekli OSS'ye uzun vadeli bağımlı olunacaksa gelecekte ücretli olma ihtimali mutlaka hesaba katılmalı ve iş modelinin ne olduğu anlaşılmalıdır. VC tabanlıysa ani durdurma/geçiş de olabilir; bu yüzden birkaç yıl boyunca kritik olacak şeylerde bundan kaçınmak daha iyi olabilir
    • Yukarıdaki görüşlere katılıyorum. MinIO'nun ücretsiz Docker imajı dağıtımını durdurmasının kendisinin asıl mesele olduğunu düşünmüyorum. İmaj oluşturmanın altyapı/insan maliyeti büyük değil ve topluluk ya da başka şirketler bunu rahatça üstlenebilir. Bitnami gibi başka projelerde de alternatifler vardı. Temel sorun bu davranış kalıbı. Community Edition'dan web UI'ı “bakımı zor” bahanesiyle çıkardılar, dokümantasyonu da ihmal ettiler. Bunlar sessizce geçiştirilirken Docker imajı meselesiyle tartışma büyüdü. Güvenlik açığı yaması gibi asgari adımları bile atmadılar. Sonuçta ortaya çıkan izlenim şu: topluluğu ihmal ediyorlar, gelire odaklanıyorlar ve geçmişte verdikleri sözlerle kazandıkları güveni de kendi elleriyle siliyorlar
  • Şu anda binary build sürecini hazırlıyorum ve yakında golithus üzerinden yayımlamayı planlıyorum. MinIO Community Edition'ı sık kullanıyorum ama gelecekte bunu kendim dağıttığım günlerin azalacağını düşünüyorum. Küçük ölçekli dağıtımlarda Garage'ı, büyük ölçekli dağıtımlarda Ceph/Rook kombinasyonunu denemeyi planlıyorum. Garage'ı gerçek kullanımda deneyenlerin görüşlerini duymak isterim (özellikle multi-PiB ortamlarında)
    • Derleme süreci tamamlandı ve minio-builds üzerinden dağıtılıyor
    • Garage geliştiricileri 10PiB üzeri büyük ölçekli kullanım örnekleri olduğunu söyledi ama bunu bizzat deneyimlemedim. Matrix sohbetinde sormak en iyi yol olur
  • Son README değişikliklerine bakınca, MinIO'nun "MinIO deposu için planlanmış bir sürüm yoktur ve gerekirse önceden haber vermeden sürüm yayımlanabilir" ifadesinden "artık Community Edition yalnızca kaynak kod olarak dağıtılıyor" ifadesine geçtiği görülüyor. Yani açık kaynak projesinin kendisini durdurmadıklarını söylüyorlar ama binary dağıtımını yalnızca müşterilerle sınırlıyorlar README değişiklik geçmişi