ハクソク

世界を動かす技術を、日本語で。

MinIOがソースコードのみになる模様

216日前原文(github.com)

概要

MinIOの セキュリティリリース に関するDockerイメージ公開状況の質問 DockerHubやquay.ioに 新しいイメージが見当たらない という指摘 公式対応 として「意図した動作」とラベル付け ユーザーから 新リリースの要望 本件の背景と現状整理

MinIO セキュリティリリースのDockerイメージ公開状況

  • MinIOのセキュリティリリース (例:Security/CVE RELEASE.2025-10-15T17-29-55Z)に関するDockerイメージの有無
  • DockerHubquay.io で新しいイメージが見つからない現状
  • ユーザーから「 新しいDockerイメージを公開してほしい」との要望
  • MinIO開発チーム は「 working as intended (想定どおり)」とラベル付け
  • 公式リリース方法 やDockerイメージの提供方針

ユーザーからの要望とコミュニティの反応

  • セキュリティリリースの 即時反映 を求める声
  • DockerHubやquay.ioを利用する 運用現場での利便性重視
  • 👍リアクション が多数集まり、関心の高さを示唆
  • 他のユーザーからも 同様の要望 やコメントが寄せられる状況

MinIO公式の対応と今後の方針

  • 「working as intended」 ラベルで「現状の運用が正しい」と明示
  • 自動的なDockerイメージ公開 が行われない理由の明確化は現時点で無し
  • セキュリティリリースの反映タイミング や、手動でのイメージ取得方法の案内なし
  • 公式からの 追加説明や今後の対応方針 の発表待ち

まとめ

  • MinIOのセキュリティリリース に関するDockerイメージ公開の遅延・未公開が話題
  • ユーザーの利便性向上セキュリティ対応 のバランスが課題
  • 公式の 今後の対応方針運用方法の明示 が期待される状況

Hackerたちの意見

完全な代替ではないけど、Garageっていうのがあって、他のHNスレッドでは結構好評だったよ。 https://git.deuxfleurs.fr/Deuxfleurs/garage

自己ホスティングできる選択肢としては十分だと思うよ。Minioと比べるといくつか機能が足りないし、互換性も少ないけど、大体のアプリケーションには使える。

if-matchに対応してない。

確か、Cephにも独自のオブジェクトストレージ機能があって、S3互換みたいだよ。 https://docs.ceph.com/en/latest/radosgw/#object-gateway

Garageは結構手間がかかると思う。

これって、コミュニティエディションのウェブUIから便利な機能を全部削除したプロジェクトだってことを忘れないでね。「維持するのが大変だから」って言い訳してさ。これもVC資金を受けた企業が、自分たちの後ろで梯子を引き上げるパターンだよね。

それが言い訳なの? コードの維持にはお金がかかるし、以前のバージョンはライセンスの下で提供されてるから、自分で修正したり、選択的なパッチを引っ張ってきて維持するのは自由だよ。ライセンスが永遠に無料で機能を開発・維持する約束だったら便利だけど、そんなことはないからね。会社にバックアップされていないオープンソースプロジェクトでも、こういうことにしょっちゅう遭遇するよ。メンテナーが燃え尽きたり、興味を失ったりして、結局は「無料のアップデートやサポートを提供する義務がある」って思ってた人たちから、ピッチフォークを持った人たちに責められるんだ。

オープンソースプロジェクトなんだから、みんなが何を文句言ってるのか理解できない。誰も無料のDockerイメージを受け取る権利なんてないよ。需要があれば、信頼できる誰かが自動でビルドするようになると思う。代わりに文句を言いたいのは、Min.ioのウェブページの価格ページだね。価格が一切載ってない。 https://cloudian.com/blog/minios-ui-removal-leaves-organizat... を見ると、全然安くないみたい(年間最低96,000ドル)。Cloudianはクローズドソースの競合製品を提供してるから注意してね。

CVEの後に配布を全部削除するのは、いい感じだね…

いつもDockerイメージを公開していたら、期待が生まれるんだよね。人々はその期待に基づいてソフトウェアを選ぶから、突然「更新されたDockerイメージは出さないよ」って決めるのは、ちょっと悪意的な行動に近いと思う。特にCVEの後で、事前に通知もなしに(4日前にREADMEを更新した隠れたコミットを除いて)ってのはね。もし本当にコミュニティを大事に思っているなら、公開Dockerビルドをやめる決断をする前に警告期間を設けたり、リポジトリに通知を追加したり、簡単な移行パスを作ったり、コミュニティのメンバーを支援したりするのが責任ある行動だと思う。でも、そうじゃなくて、変更を導入して、何の公表もせず、誰かが気づくのを待って、説明もなしに沈黙した。しかも大きなCVEの後で。無責任だよね。

これは本当にそうだね。人々にコミュニティを妨害している印象を与えるだけ。彼らがそうする理由は分かるけど(不便さが増すほど、人々が支払う可能性が高くなるから)、企業がオープンソースのコードについてもっと考えて、最初からエンタープライズの提供と差別化する方法を考えてほしいな。 tractionを得た後でトリックを使うんじゃなくて。

彼らがDockerイメージのビルドをやめる権利はあるよね。そのユーザーが不満を持って代替製品を探す権利もある。もしそれがMinIOの期待なら、全て良いけど、なんか逆効果な気がする?自分はMinIOが好きじゃなかったけど、機能を削除するのを見たら、絶対に使いたくないな。

企業がオープンソースを作って、オープンソースコミュニティがそれを受け入れて、デファクトスタンダードになる。だけど、企業がビジネスをうまくできなくて、コミュニティを放置するっていうのは、 rug pullみたいなもんだよね。すでにあったコンテナイメージのビルドステップを削除して、内部だけでやるのは、今やってるゲートキーピングだよ。これらのイメージを提供するのはほとんど努力いらないのに。価格ページもいつも同じで、最低1k/月以下の取引はないから、プレセールスの人たちや小規模やスタートアップ向けに機能しない支払いパイプラインがある。なんかMinIOが理解できない。S3システムで1億ドル以上の投資を受けたのに、基本的には完成した製品だし、他の企業から少しの投資で簡単に再現できる「一度投資して一度作って、運営し続ける」タイプのものだよね。どうやって1億ドル以上の評価を得たのか全く分からない。

でも、きちんと作られたイメージは製品リリースの良い部分だよね。品質のあるプロダクションレディのイメージを作るのは簡単じゃないし、ベンダーからの提供はいつでも歓迎されるよ。

「オープンソースプロジェクトだから、みんなが文句言ってるのが理解できない。誰も無料のDockerイメージを受け取る権利なんてないんだから。」確かにそうだけど、こういう議論の中で、責任の概念がどこかで失われがちなんだよね。プロジェクトを公開して、みんなに使ってもらうように促して、たくさんのユーザーがついたのに、急にやめるっていうのは、法的には誰にも何も義務はないけど、文句を言う人たちを「権利を主張してる」って言うのはちょっとおかしいよ。結局、みんなに使ってもらうように促したんだから!法的に何かを義務付けられてるわけじゃないけど、プロジェクトの成長に驚いている人や、人気を出そうとしなかったのに急に大きくなって負担になって辞めることにした人には、もっと共感できる。一般的に、たくさんの人に何かを使ってもらおうとしたら、成功すればその人たちに対して様々な形の社会的責任が生まれるんだよね。これはオープンソースだけじゃなくて、ほとんどのことに当てはまる。オープンソースだからって、この社会的現実から逃れられるわけじゃないよ。

その通り。彼らのGitHubを見てみたけど、大きな問題は何なのか、まだフルソースとDockerfileを提供しているよ。これが大きな問題になるとは思えないんだけど。もうDockerイメージのビルドの仕方がわからない人はいないの?

みんなが文句言ってるのが理解できない。 言葉は安いからね。人々は法的に権利がないことについて文句を言うけど、逆に会社が方針を変えたら得られるものがあるから、デメリットはないんだ。背景では、文句が通じなかったときのリスクを軽減するためにチケットを作っているかもしれない。これは完全に合理的だよ。これが理解できない人がいるのが理解できない。

確かに、あのGitHubの問題にはちょっと傲慢な人たちがいるよね。でも、この態度は逆に行き過ぎだと思う。無料サービスを続ける義務はないのは分かるけど、撤回する前に少しは通知するのが普通じゃない?特に、長い間ずっと提供してたんだから。法律的には義務じゃないけど、礼儀としてね。撤回した後に通知すらしてないなんて!誰かが気づいて聞くのを待ってただけだよ。多くの有料サービスは、サブスクリプションベースで、技術的にはいつでもサービスを変更(つまり、減らすことも!)できるからね。無料プランに対して悪意を持って行動するなら、有料プランについては何を期待すればいいの?そんな風に振る舞う可能性のある有料サービスを使うべきじゃないって主張することもできるけど、実際は難しいと思うよ。

今、バイナリビルドプロセスに取り組んでるよ。近いうちにhttps://github.com/golithusに何かアップする予定。MinIO(コミュニティ版)を結構使ってるんだけど、好きではあるけど、デプロイの日々が限られてきてるのも明らかになってきた。小規模なデプロイメントにはGarageを試してみたいと思ってるし、そこでのプロダクション経験について聞けたら面白いな。(誰かマルチPiBデプロイメントやったことある?)それ以外にも、大規模なデプロイメントにはCeph/Rookを見始めるつもり。

ガレージ開発者たちから、10PiB以上の本番環境でのデプロイについて聞いたことがあるけど、そんな規模で運用したことはないから、あまり詳しいことは言えないな。多分、彼らのマトリックスチャットで聞くのが一番いいと思うよ。

完了: https://github.com/golithus/minio-builds

HNの投稿タイトルはちょっと誤解を招くかも。MinIOがオープンソースをやめると思われるのは簡単だし(それはもっと大きな問題だと思う)、こうした方がいいと思うな。「MinIOが無料のDockerイメージの配布を停止」って。--- 関連するREADMEセクションも見てみてね:https://github.com/minio/minio?tab=readme-ov-file#source-onl...

最初にクリックしたときのタイトルの解釈はそんな感じだった。面白いけど、誤解されやすいのは確かだね。

彼らは数週間前にドキュメント(オープンソースのコードベース用)を放棄したみたいで、これがもっと重要なことに思える。10月10日のSlackからの引用: 「docs.min.io/communityのドキュメントサイトは今朝削除され、可能な限りAIStorのドキュメントにリダイレクトされます。」[強調は私のもの] minio/docsリポジトリは2週間更新されていなくて、今後も更新されないという暗示がある。2月にminioクラスターを設定したときも、すごく簡単だったけど、いくつかの小さな面では難しかった。最も重要なインストールのヒントは、約100Gbのネットワーク、Linuxカーネルの調整、障害の特定に関するもので、数年前にリポジトリから削除されたファイルについてのコメントに依存していた。クライアントのためにクラスターを構築したけど、今年は約100PBに拡張される予定。サポートの価格は、実際のホスティングコストを除いて、S3ストレージの同等の金額より少し安い。クライアントにとってその価値はあまり高くないみたいで、今はできるだけのことをやって、実際のコミュニティがどんなふうに形成されるか見てみるしかないね。私はフリーソフトウェアの熱心な支持者ではないから、minioが世界に提供しているものや、それが可能にしているビジネスには感謝している。でも、彼らがその貢献をやめているのは明らかで、最終的なオープンソースリリースは来年中に行われるだろうね。もし他にminioをホスティングしていて、サポートを受けられない人がいたら、連絡してくれれば何かできるかもしれないよ。

いや、大丈夫だよ。オープンソースだから、自分でドキュメント作ればいいし!でも、MinIOの作者たちには提供する義務はないから、君はそれを受け取る権利はないよ。

私たちはクライアントのためにMinIOを使っているから、夜間ビルドプロセスをまとめてみたよ。自由に使ったりフォークしたりしてね: https://github.com/golithus/minio-builds 使い方の例: docker run -p 9000:9000 -p 9001:9001 ghcr.io/golithus/minio:latest [0]: https://lithus.eu

これ、bitnamiのコンテナを思い出させるね。彼らはDockerイメージを引き上げたから、みんな移行したんだけど、プロジェクトを構築するアーティファクトも引き上げるんじゃないかと恐れていた。そんなことは言ってなかったのにね。彼らはプロジェクトの更新を続けていて、アーティファクトへのアクセスも提供しているみたい。Dockerをビルドするのはすごく簡単だし、実際にはただのDockerfileなんだよね。プロジェクトの更新を止める理由は本当にないし、ただの無料のマーケティングだよ。

何年もminioを使ってないし、使ってたときもちょっと触っただけだけど、私の記憶では、あれは想像できる中で一番シンプルなビルドチェーンだと思う。最新のgolangをインストールして、minioをビルドして、単一のバイナリを得る。オープンソースツールのminioに依存するなら、以下を確認する必要があるよ:* サポートしている組織 * ライセンス * ビルドチェーン * 他に誰が使ってるか? * 本番環境に必要な配布アーティファクト。これを確認したら、「これが自分を縛り付けるアンカーにしたいのか?そのアンカーが冷たい深海に飛び込んで、私と私の夢を連れて行くことはないだろうか?」って考えることができるよ。もしその組織が rugpull したり、エラスティックにしたりしたら、どうするつもり?minioみたいなものであれば、もしまだソースを配布しているなら、ビルドするのは簡単だし(ビルドできないなら、それに依存するのが適切かどうかを評価すべきだよ)。SigNozみたいな他のクールなオープンソースのものを見てみよう。あれは確か、dockerアーティファクトしか配布してなかったと思うけど、もしあれが rugpull されたら、それに依存している人たちは完全に困ってしまうよ。これはminioの行動が良くないと言っているわけじゃないけど、彼らがしばらく前からVCの支援者に返済しようとしているサインを出している気がする。

じゃあ、Garageを使えばいいよ。 https://git.deuxfleurs.fr/Deuxfleurs/garage