当开发者们在10月15日像往常一样前往DockerHub拉取MinIO最新镜像时,他们发现熟悉的下载链接消失了。这个曾经被下载超过10亿次的开源明星项目,突然宣布只提供源代码,不再分发预构建的Docker镜像。然而,针对GitHub上“找不到符合CVE的
Docker图像”的问题,MinIO开发团队表示,“我们已经停止了这个,并转为仅源代码的分发。”这意味着官方图像不再在DockerHub和其他平台上更新,用户现在负责自己构建和管理它们。
许多用户批评了这些变化,引用了“未宣布的变化”、“不发布符合CVE标准的版本带来的安全风险”和“对企业被许可人的不诚实”。特别是企业用户抱怨说,“我们支付了许可费,但OIDC代码已从开源版本中删除,现在Docker镜像的分发已经停止”,“这似乎是一种锁定策略,我们已经失去了信任。”使用者也纷纷表示不满。
“这感觉就像去超市买牛奶,结果店员递给你一头奶牛说‘自己挤吧
’。”一位开发者在Hacker News上这样吐槽。从简单的docker pull到需要自行搭建完整的构建环境,运维成本直线上升。
更让中小团队担忧的是,自动更新流程被彻底打破。“像Watchtower这样的自动更新服务直接失效了,这意味着很多正在运行的实例将无法及时获得安全更新。”
“最让人难以接受的是,这么重大的变化居然没有任何提前通知。”一位企业用户愤慨地表示。当用户在GitHub上询问CVE合规镜像的去向时,才意外得知政策已经改变。
选择在安全更新时做出这一变动,MinIO的时机选择让很多人感到不解甚至愤怒。“这就像在火灾警报响起时关闭了消防通道,”
某金融公司技术负责人评论道,“我们现在必须重新评估是否继续使用MinIO。”
回顾MinIO的发展轨迹,这次的镜像事件似乎早有端倪。2021年从Apache 2.0切换到AGPLv3许可证,今年5月移除社区版控制台功能,再到如今停止分发Docker镜像——每一步都在收紧“免费午餐”的范围。
“我们支付了许可费,但功能却在不断缩水,”一位付费用户抱怨道,“OIDC代码从开源版本中移除,现在连Docker镜像都没了。这真的是开源吗?还是只是一种营销策略?”
在批评声浪中,也有一些不同的声音。“维护这些免费的Docker镜像确实需要真金白银的投入,”一位开源项目维护者表示,“当你的项目被下载了10亿次,但收到的捐助却寥寥无几时,你不得不做出一些艰难的选择。”
另一位开发者补充道:“如果有人用你的免费软件搭建了100PB的集群,却不愿意支付一分钱,公司转向商业化也是可以理解的。毕竟,开发者也要吃饭。”
面对MinIO的转变,社区已经开始行动。有人呼吁分叉项目,有人开始评估其他S3兼容的替代方案。“在控制台功能被悄无声息地移除后,我们就开始迁移到RustFS了,”一位开发者分享道,“现在看来,这个决定是正确的。”
但分叉真的能解决问题吗?历史上,像MariaDB这样成功的分叉案例并不多见。更多的分叉项目在短暂的喧嚣后逐渐沉寂。
MinIO事件折射出一个更深层的问题:在云原生时代,我们消费的到底是什么?是源代码本身,还是围绕源代码构建的整个生态系统——镜像、文档、工具链?
一位资深从业者思考道:“也许我们正在见证开源模式的进化。单纯的源代码共享已经不能满足现代开发的需求,而提供完整的解决方案必然需要商业投入。”
当我们在GitHub上轻点star按钮时,当我们把又一个开源项目纳入技术栈时,我们是否思考过:如果明天这个项目开始收费,我们准备好了吗?
MinIO的故事还在继续。官方的解释、社区的愤怒、用户的无奈,构成了一幅复杂的图景。这不仅仅是一个商业决策的对错问题,更是整个开源世界在可持续发展道路上必须面对的难题。
或许,真正的答案不在MinIO一方,也不在用户一方,而是在双方都能接受的新平衡点上。毕竟,没有了用户,再好的开源项目也没有意义;而没有了可持续的商业模式,再受欢迎的项目也难以为继。
参考链接:https://gigazine.net/gsc_news/en/20251023-minio-stops-distributing-free-docker-images/
