MinIO met fin à la distribution gratuite de ses images Docker

 (github.com/minio)
3 points par GN⁺ 2025-10-23 | 3 commentaires | Partager sur WhatsApp
  • Le logiciel de stockage objet MinIO a cessé de distribuer ses images Docker officielles, ce qui suscite une forte réaction au sein de la communauté
  • L’arrêt est intervenu sans préavis juste après un correctif de faille de sécurité (CVE), faisant craindre que de nombreux environnements utilisant les mises à jour automatiques soient exposés à un risque de sécurité
  • Les utilisateurs critiquent une érosion de la confiance dans l’open source et une stratégie de verrouillage des clients entreprises, tandis que les discussions autour de builds maison ou de projets forkés se multiplient
  • Certains pointent une « tendance à la commercialisation des projets open source financés par du capital-risque » et évoquent la possibilité de projets communautaires alternatifs, comme dans le cas de nextCloud
  • MinIO affirme qu’il s’agit d’« une décision prise avant le problème de sécurité, consistant simplement à arrêter les builds Docker », mais la controverse se poursuit

Arrêt de la distribution des images Docker de MinIO

  • L’équipe MinIO a annoncé l’arrêt de la fourniture des images Docker officielles, déclenchant une polémique
    • Il s’agissait auparavant d’une image populaire téléchargée plus d’un milliard de fois
    • Des membres de la communauté estiment que « prendre cette décision au moment où les mises à jour de sécurité s’arrêtent est inapproprié »

Réaction de la communauté et montée de la défiance

  • Les utilisateurs considèrent cette mesure comme un « rug pull » effectué sans annonce préalable
    • Certains y voient « une décision stratégique visant à verrouiller les clients entreprises »
    • D’autres dénoncent « un virage progressivement plus fermé, avec la suppression du code OIDC et l’arrêt de Docker »
  • Certains déclarent qu’« après l’avoir utilisé et recommandé pendant six ans, ils ne peuvent plus lui faire confiance »

Problèmes de sécurité et de mises à jour

  • La communauté avertit que l’arrêt des mises à jour automatiques pourrait empêcher un très grand nombre d’installations de recevoir les correctifs de vulnérabilité
    • Les systèmes de mise à jour automatique comme Watchtower ne fonctionnent désormais plus
    • En conséquence, de petits home servers et services communautaires pourraient être exposés à des risques de sécurité sur le long terme

Polémique sur la commercialisation et atteinte aux valeurs de l’open source

  • Des utilisateurs dénoncent « la tendance des entreprises open source soutenues par des VC à écarter la communauté pour basculer vers le payant »
    • La documentation et les guides recommandent toujours l’usage de Docker, mais l’image concernée contient encore des CVE non corrigées
    • Certains proposent « d’afficher un avertissement de sécurité dans le README et de retirer le bouton DockerHub »
  • D’autres estiment que « le coût d’un build automatique via GitHub Actions est pratiquement nul », et qualifient cette décision de « malveillante »

Réactions diverses et conclusion du débat

  • Certains développeurs ont critiqué ce qu’ils jugent être une réaction excessive, en affirmant qu’« il suffit de compiler soi-même », mais beaucoup rétorquent que « dans les environnements d’entreprise, des builds personnalisés répétés engendrent des coûts »
    • Un avis avancé est que « l’open source n’impose d’obligation à personne, mais lorsque l’intention commerciale est claire, le vrai problème est le manque de transparence »
  • MinIO a estimé que la discussion n’était « pas constructive » et a verrouillé puis clos l’issue

À lire aussi

3 commentaires

 
t7vonn 2025-10-23

Vive rustfs
 
kimjoin2 2025-10-23

« Dans les environnements d’entreprise, des builds personnalisés répétés engendrent des coûts »
VS
« En réalité, le coût des builds automatiques via GitHub Actions est quasiment nul »

mdr
 
GN⁺ 2025-10-23
Commentaires sur Hacker News
  • J’ai vu il y a quelques semaines une annonce indiquant que MinIO arrêtait le travail de documentation de sa base de code open source. Le 10 octobre, sur Slack, ils ont dit que « les sites de documentation docs.min.io/community ont été mis hors ligne ce matin et seront, si possible, redirigés vers la documentation AIStor ». Le dépôt minio/docs n’a pas non plus été mis à jour depuis deux semaines, et il semble peu probable qu’il le soit encore. Quand j’ai monté un cluster MinIO en février, c’était globalement simple, mais difficile sur certains points. Les conseils d’installation importants ne subsistaient parfois que dans des commentaires GitHub mentionnant des fichiers supprimés depuis plusieurs années. Cette année, nous étendons un cluster de l’ordre de 100 PB, et le prix du support est presque équivalent à celui du stockage S3, sans même inclure les coûts d’hébergement réels. Cela n’apporte pas une grande valeur perçue pour le client, et nous n’avons guère d’autre choix que de nous appuyer sur ce qu’il reste aujourd’hui. Merci à MinIO pour sa contribution à l’écosystème et à son activité, mais cette contribution est en train de cesser, et il semble probable que la dernière release open source sorte l’an prochain. Il a aussi proposé de le contacter si le coût du support MinIO posait problème
    • Je trouve vraiment aberrant que le coût du support soit presque au niveau du stockage S3. À mon avis, il faudrait demander des devis concurrents à des acteurs comme NetApp ou Dell. Je ne l’ai pas fait récemment, mais il y a quelques années c’était environ deux fois moins cher que S3, hébergement compris
    • La disparition complète de la documentation open source me paraît plus grave que le fait de cacher les images précompilées. Ce serait bien de rassembler et conserver les conseils d’installation ailleurs que dans des commentaires GitHub
    • J’ai moi aussi été très mécontent de voir la console supprimée sans préavis pendant une mise à niveau. Je cherchais une alternative à MinIO depuis environ un mois et j’ai découvert RustFS ; je le teste depuis plus d’un mois et il continue de s’améliorer. La communauté corrige aussi les bugs à une vitesse impressionnante. J’aimerais que YC investisse dans cette société
    • Avec le recul, je me dis que c’est peut-être une bonne chose de ne pas avoir rejoint MinIO comme responsable de la documentation de support
    • En voyant qu’un cluster de 100 PB a été construit avec très peu de revenus à la clé, je comprends pourquoi MinIO fait ce choix. Je me demande si ça finira par être « valkeyé » comme Redis (même si je ne pense pas qu’AWS en soit l’initiateur)
  • MinIO avait déjà retiré toutes les fonctionnalités utiles de l’interface web de l’édition communautaire, en prétextant que c’était trop difficile à maintenir. Là encore, cela ressemble à un exemple de société financée par du capital-risque qui grandit d’abord puis retire l’échelle
    • Quel échelon a exactement été retiré ? Si on fork le dernier commit correct, on peut créer un concurrent, donc autant s’y mettre directement
    • Sur le fait que ce soit un prétexte : la maintenance a bien un coût, et pour les anciennes versions couvertes par la licence, on peut toujours les modifier soi-même. Croire que l’open source garantit à vie des mises à jour gratuites et du support relève presque du fantasme. On voit souvent le même cas sur des projets open source sans entreprise derrière. Les mainteneurs s’épuisent facilement et n’obtiennent presque rien en retour, alors qu’on leur réclame partout des mises à jour gratuites
    • Il faut être conscient du risque qu’un service financé par du VC ne garantisse ni support stable ni avantages gratuits
  • Je me demande si, pour un projet open source, les gens ont vraiment une raison de se plaindre de ne plus pouvoir obtenir d’images Docker gratuites. Si la demande est suffisante, quelqu’un de fiable automatisera leur construction. Ce qui me dérange davantage, c’est que la page de prix du site de Min.io n’affiche pas les prix. D’après les informations sur le concurrent Cloudian, on parle d’au moins 96 000 $ par an, ce qui n’a rien de bon marché (Cloudian est un produit fermé)
    • Quand une entreprise distribue publiquement des images Docker pendant longtemps, les utilisateurs finissent par compter là-dessus et choisissent le produit aussi pour cette raison. Surtout avec des vulnérabilités de sécurité (CVE) en cours, arrêter la distribution sans aucun préavis, en ne laissant qu’un discret commit dans le README quatre jours plus tôt, donne presque une impression de malveillance. S’ils avaient vraiment pensé à la communauté, il y aurait eu une période de préavis, une annonce dans le dépôt, un chemin de migration ou une politique d’aide aux mainteneurs communautaires. Là, ils ont changé ça en silence puis sont restés muets sans explication. Malgré une grosse vulnérabilité, ils ne distribuent même pas d’images corrigées. C’est irresponsable
    • Je pense que MinIO est davantage source available que véritablement open source. J’avais déjà lancé une instance MinIO, puis l’équipe juridique de MinIO m’a contacté en menaçant d’un procès pour violation de licence open source, au motif que « l’injection du fichier de configuration constitue aussi une modification du code source ». Je laisse quelques fils HN liés : 35328316, 32148007
    • Je commence à me fatiguer de l’idée selon laquelle on ne devrait exprimer aucune insatisfaction simplement parce que quelque chose est open source. Quand MinIO déplace, longtemps après coup, des fonctionnalités qu’il fournissait dans le cadre de l’open source vers des offres payantes ou non commerciales, il est normal que les utilisateurs concernés soient déçus. Je trouve la plainte parfaitement légitime
    • Ce type d’évolution peut être perçu comme un affaiblissement de la communauté. Rendre l’expérience volontairement pénible augmentera sans doute le taux de conversion payant, mais j’aurais préféré que la frontière entre open source et produit commercial soit clairement établie dès le départ
    • Ils ont évidemment le droit d’arrêter de construire des images Docker, mais les utilisateurs ont aussi le droit de partir chercher des alternatives. Si une entreprise retire des fonctionnalités, moi non plus je n’ai pas envie d’utiliser son produit
  • En réalité, je ne pense pas que ce soit un gros problème. D’autres, comme Bitnami, maintiennent déjà des images publiques de Minio, donc des alternatives existent. La licence de Minio pourrait peut-être aussi empêcher cela, mais même sans image officielle, il existe de nombreuses images compatibles. Minio semble avoir une estime un peu excessive de son propre produit. C’est un stockage objet compatible S3 qui a sa valeur, mais ce n’est pas l’unique option. Plus son usage devient pénible, plus il devient facile de voir apparaître des remplaçants. Les entreprises qui verrouillent un produit open source populaire finissent toujours par se tirer une balle dans le pied. Hashicorp l’a fait avec Terraform et la communauté a migré vers des clones comme OpenTofu. Redis a eu Valkey, MySQL a eu MariaDB, OwnCloud a été remplacé par Nextcloud. Le marché des entreprises ayant besoin de contrats de support reste là, mais le canal d’acquisition de nouveaux clients se dégrade. Il n’y a aucune raison de choisir un produit commercial fermé sans communauté. Cette évolution de MinIO lui nuit elle-même
    • Il a été dit que Bitnami et d’autres pouvaient continuer à fournir des images publiques de MinIO, mais même cela devrait bientôt s’arrêter. Informations liées : annonce des changements Bitnami, post HN
  • Ce n’est pas un remplacement complet, mais Garage a déjà reçu de bons retours comme alternative dans d’autres fils HN : Garage
    • Je pense que c’est une alternative tout à fait auto-hébergeable. C’est un peu moins abouti que MinIO et pas parfaitement compatible, mais ça convient bien à la plupart des applications
    • Garage demande pas mal de configuration, donc c’est un peu fastidieux
    • Ceph dispose aussi de sa propre fonctionnalité de stockage objet compatible S3 : Ceph Object Gateway
    • Pas de prise en charge de if-match
  • Je trouve que le titre du post soumis sur HN prête à confusion. On pourrait croire que MinIO a réellement abandonné l’open source, ce qui fait paraître la situation plus grave. Quelque chose comme « MinIO arrête la distribution d’images Docker gratuites » me semble plus juste. Voir le README associé
    • J’ai modifié le titre comme suggéré
    • Pour info, le titre d’origine était « minio went source-only ». En tant qu’utilisateur Gentoo, ça ne me pose pas de gros problème
    • Moi aussi, le titre m’a d’abord induit en erreur. C’est intéressant, mais oui, le potentiel de confusion est élevé
  • Nous utilisons MinIO chez des clients, donc nous avons créé et déployé notre propre processus de builds nocturnes : minio-builds. N’hésitez pas à forker si besoin. Exemple : 
    docker run -p 9000:9000 -p 9001:9001 ghcr.io/golithus/minio:latest
    • À noter que le Dockerfile de ce dépôt ne fait que copier le binaire et tient en 19 lignes : Dockerfile. Ce n’est pas difficile à maintenir ou à tester, donc l’équipe MinIO n’a pas forcément besoin de distribuer gratuitement des images Docker, et si nécessaire on peut le faire soi-même
    • Je me demande comment vous gérez, lors de la livraison d’un logiciel sous licence AGPL, la vérification de conformité licence côté client. J’ai déjà vu des clients refuser d’autres licences (MPL, etc.), donc un retour d’expérience concret m’intéresserait
  • Je comprends les deux camps dans ce débat
    1. MinIO est une entreprise et n’a pas d’obligation de gratuité envers les autres
    2. Les utilisateurs de la version OSS ont aussi le droit d’exprimer leur mécontentement Si l’OSS non monétisable a été utilisé comme outil marketing, il est naturel que la confiance de la communauté s’effondre et que son effet diminue. Comme pour le content marketing ou l’influencer marketing, on finit par brouiller la substance même du produit
    • Tout le monde devrait comprendre comme une évidence qu’une entreprise à but lucratif ne poursuivra pas ses contributions open source si elles ne servent plus son activité. Pour une société financée par du VC, une mise en payant ou des restrictions finissent tôt ou tard par arriver. Si on dépend à long terme d’un OSS porté par une entreprise, il faut impérativement envisager la possibilité d’une offre payante future et comprendre son modèle économique. Si c’est financé par du VC, une interruption ou un pivot brutal peut aussi survenir, donc mieux vaut éviter d’en faire un composant indispensable pendant des années
    • Je suis d’accord avec les remarques précédentes. Le fait même que MinIO ait arrêté la distribution d’images Docker gratuites n’est pas, selon moi, le vrai sujet. Même si construire ces images a un coût d’infrastructure et de personnel, il n’est pas énorme, et la communauté ou d’autres entreprises peuvent très bien prendre le relais. Il existait déjà des alternatives avec Bitnami et d’autres projets. Le vrai problème est ce schéma de comportement. Ils ont retiré l’interface web de l’édition communautaire sous prétexte qu’elle était « difficile à maintenir », et ils ne prennent plus la documentation au sérieux. Simplement, ces points étaient passés relativement inaperçus jusqu’à ce que la controverse explose autour des images Docker. Ils n’ont même pas assuré le minimum, comme des images corrigées en cas de vulnérabilité. Au final, cela donne l’impression qu’ils négligent la communauté au profit des revenus, et qu’ils renient eux-mêmes la confiance qu’ils avaient gagnée grâce à leurs promesses passées
  • Nous préparons actuellement un processus de build de binaires, qui sera bientôt publié chez golithus. Nous utilisons souvent l’édition communautaire de MinIO, mais je pense que les jours où nous la distribuerons directement vont se raréfier. Nous prévoyons d’expérimenter Garage pour les petits déploiements, et le duo Ceph/Rook pour les grands. Je serais aussi preneur de retours d’expérience sur Garage en production (notamment dans des environnements de plusieurs PiB)
    • Le processus de build est terminé et distribué sur minio-builds
    • Les développeurs de Garage ont dit qu’il existe des cas d’exploitation à grande échelle au-delà de 10 PiB, mais je ne l’ai pas expérimenté moi-même. Le mieux est de demander sur le chat Matrix
  • D’après la récente modification du README, MinIO est passé de « aucune release n’est prévue pour le dépôt MinIO, et des releases peuvent être faites sans préavis si nécessaire » à « l’édition communautaire est désormais distribuée uniquement sous forme de code source ». Autrement dit, ils disent ne pas arrêter le projet open source lui-même, mais la distribution de binaires est désormais limitée aux clients historique du README