世界を動かす技術を、日本語で。

MinIOがソースコードのみになる模様

2025年10月22日原文(github.com)

概要

MinIOの セキュリティリリース に関するDockerイメージ公開状況の質問 DockerHubやquay.ioに 新しいイメージが見当たらない という指摘 公式対応 として「意図した動作」とラベル付け ユーザーから 新リリースの要望 本件の背景と現状整理

MinIO セキュリティリリースのDockerイメージ公開状況

  • MinIOのセキュリティリリース (例:Security/CVE RELEASE.2025-10-15T17-29-55Z)に関するDockerイメージの有無
  • DockerHubquay.io で新しいイメージが見つからない現状
  • ユーザーから「 新しいDockerイメージを公開してほしい」との要望
  • MinIO開発チーム は「 working as intended (想定どおり)」とラベル付け
  • 公式リリース方法 やDockerイメージの提供方針

ユーザーからの要望とコミュニティの反応

  • セキュリティリリースの 即時反映 を求める声
  • DockerHubやquay.ioを利用する 運用現場での利便性重視
  • 👍リアクション が多数集まり、関心の高さを示唆
  • 他のユーザーからも 同様の要望 やコメントが寄せられる状況

MinIO公式の対応と今後の方針

  • 「working as intended」 ラベルで「現状の運用が正しい」と明示
  • 自動的なDockerイメージ公開 が行われない理由の明確化は現時点で無し
  • セキュリティリリースの反映タイミング や、手動でのイメージ取得方法の案内なし
  • 公式からの 追加説明や今後の対応方針 の発表待ち

まとめ

  • MinIOのセキュリティリリース に関するDockerイメージ公開の遅延・未公開が話題
  • ユーザーの利便性向上セキュリティ対応 のバランスが課題
  • 公式の 今後の対応方針運用方法の明示 が期待される状況

Hackerたちの意見

完全な代替ではないけど、Garageっていうのがあって、他のHNスレッドでは結構好評だったよ。 https://git.deuxfleurs.fr/Deuxfleurs/garage

自己ホスティングできる選択肢としては十分だと思うよ。Minioと比べるといくつか機能が足りないし、互換性も少ないけど、大体のアプリケーションには使える。

if-matchに対応してない。

確か、Cephにも独自のオブジェクトストレージ機能があって、S3互換みたいだよ。 https://docs.ceph.com/en/latest/radosgw/#object-gateway

Garageは結構手間がかかると思う。

これって、コミュニティエディションのウェブUIから便利な機能を全部削除したプロジェクトだってことを忘れないでね。「維持するのが大変だから」って言い訳してさ。これもVC資金を受けた企業が、自分たちの後ろで梯子を引き上げるパターンだよね。

それが言い訳なの? コードの維持にはお金がかかるし、以前のバージョンはライセンスの下で提供されてるから、自分で修正したり、選択的なパッチを引っ張ってきて維持するのは自由だよ。ライセンスが永遠に無料で機能を開発・維持する約束だったら便利だけど、そんなことはないからね。会社にバックアップされていないオープンソースプロジェクトでも、こういうことにしょっちゅう遭遇するよ。メンテナーが燃え尽きたり、興味を失ったりして、結局は「無料のアップデートやサポートを提供する義務がある」って思ってた人たちから、ピッチフォークを持った人たちに責められるんだ。

オープンソースプロジェクトなんだから、みんなが何を文句言ってるのか理解できない。誰も無料のDockerイメージを受け取る権利なんてないよ。需要があれば、信頼できる誰かが自動でビルドするようになると思う。代わりに文句を言いたいのは、Min.ioのウェブページの価格ページだね。価格が一切載ってない。 https://cloudian.com/blog/minios-ui-removal-leaves-organizat... を見ると、全然安くないみたい(年間最低96,000ドル)。Cloudianはクローズドソースの競合製品を提供してるから注意してね。

CVEの後に配布を全部削除するのは、いい感じだね…

いつもDockerイメージを公開していたら、期待が生まれるんだよね。人々はその期待に基づいてソフトウェアを選ぶから、突然「更新されたDockerイメージは出さないよ」って決めるのは、ちょっと悪意的な行動に近いと思う。特にCVEの後で、事前に通知もなしに(4日前にREADMEを更新した隠れたコミットを除いて)ってのはね。もし本当にコミュニティを大事に思っているなら、公開Dockerビルドをやめる決断をする前に警告期間を設けたり、リポジトリに通知を追加したり、簡単な移行パスを作ったり、コミュニティのメンバーを支援したりするのが責任ある行動だと思う。でも、そうじゃなくて、変更を導入して、何の公表もせず、誰かが気づくのを待って、説明もなしに沈黙した。しかも大きなCVEの後で。無責任だよね。

これは本当にそうだね。人々にコミュニティを妨害している印象を与えるだけ。彼らがそうする理由は分かるけど(不便さが増すほど、人々が支払う可能性が高くなるから)、企業がオープンソースのコードについてもっと考えて、最初からエンタープライズの提供と差別化する方法を考えてほしいな。 tractionを得た後でトリックを使うんじゃなくて。

彼らがDockerイメージのビルドをやめる権利はあるよね。そのユーザーが不満を持って代替製品を探す権利もある。もしそれがMinIOの期待なら、全て良いけど、なんか逆効果な気がする?自分はMinIOが好きじゃなかったけど、機能を削除するのを見たら、絶対に使いたくないな。

Hacker Newsで議論の続きを見る