MinIO deja de distribuir imágenes Docker gratuitas

 (github.com/minio)
3 puntos por GN⁺ 2025-10-23 | 3 comentarios | Compartir por WhatsApp
  • El software de almacenamiento de objetos MinIO dejó de distribuir sus imágenes oficiales de Docker, lo que ha generado un fuerte rechazo en la comunidad
  • La suspensión se produjo sin previo aviso justo después de un parche de vulnerabilidad de seguridad (CVE), lo que genera preocupación de que muchos entornos que usan actualizaciones automáticas queden expuestos a riesgos de seguridad
  • Los usuarios critican una pérdida de confianza en el open source y una estrategia de lock-in para clientes empresariales, mientras se extienden las discusiones sobre compilaciones propias o proyectos fork
  • Algunos usuarios señalan la tendencia a comercializar proyectos open source financiados por VC, y mencionan la posibilidad de proyectos alternativos de la comunidad, como ocurrió con nextCloud
  • MinIO respondió que era una decisión tomada antes del problema de seguridad y que simplemente dejaron de hacer el build de Docker, pero la polémica continúa

MinIO deja de distribuir imágenes Docker

  • El equipo de MinIO anunció que dejará de ofrecer imágenes oficiales de Docker, lo que desató la controversia
    • Era una imagen muy popular, con más de mil millones de descargas
    • Usuarios de la comunidad criticaron que “tomar esta decisión justo cuando se interrumpen las actualizaciones de seguridad es inapropiado”

Rechazo de la comunidad y expansión de la desconfianza

  • Los usuarios ven esta medida como un ‘rug pull’ realizado sin aviso previo
    • Surgieron críticas de que se trata de una “decisión estratégica para forzar el lock-in de clientes empresariales”
    • También hubo señalamientos de que “al eliminar código OIDC y dejar Docker, el proyecto se está moviendo gradualmente hacia una dirección más cerrada”
  • Algunos reaccionaron diciendo que “lo usé y lo recomendé durante 6 años, pero ya no puedo confiar en ello

Problemas de seguridad y actualizaciones

  • La comunidad advierte que, al detenerse las actualizaciones automáticas, muchísimos entornos instalados podrían quedarse sin recibir parches de vulnerabilidades
    • Sistemas de actualización automática como Watchtower ya no funcionan
    • Como resultado, pequeños home servers y servicios comunitarios podrían quedar expuestos a riesgos de seguridad a largo plazo

Polémica por la comercialización y deterioro de los valores del open source

  • Los usuarios señalan una tendencia de empresas open source respaldadas por VC a dejar de lado a la comunidad y moverse hacia modelos de pago
    • La documentación y las guías siguen recomendando usar Docker, pero esas imágenes todavía contienen CVE sin parchear
    • Se propuso “agregar una advertencia de seguridad en el README y eliminar el botón de DockerHub”
  • Algunos sostienen que “el costo de hacer builds automáticos con GitHub Actions es prácticamente cero”, por lo que califican esta medida como una decisión malintencionada

Reacciones diversas y conclusión del debate

  • Algunos desarrolladores criticaron la reacción por exagerada diciendo que “simplemente pueden compilarlo ustedes mismos”, pero muchos respondieron que “en entornos empresariales, mantener builds personalizados de forma repetida sí genera costos”
    • También se planteó que “el open source no le debe nada a nadie, pero cuando la intención comercial es evidente, el problema es la falta de transparencia
  • MinIO sostuvo que la discusión “no era constructiva” y bloqueó y cerró el issue

Lecturas relacionadas

3 comentarios

 
t7vonn 2025-10-23

Vamos con rustfs
 
kimjoin2 2025-10-23

“En entornos empresariales, los builds personalizados repetitivos generan costos”
VS
“En realidad, el costo de los builds automáticos mediante GitHub Actions es prácticamente cero”

jaja
 
GN⁺ 2025-10-23
Opiniones de Hacker News
  • Hace unas semanas vi un aviso de MinIO diciendo que habían dejado de trabajar en la documentación de la base de código open source. El 10 de octubre, en Slack, dijeron: "los sitios de documentación docs.min.io/community fueron dados de baja esta mañana y, si es posible, se redirigirán a la documentación de AIStor". El repositorio minio/docs tampoco ha tenido actualizaciones en 2 semanas y parece que ya no las tendrá. Cuando armé un clúster de MinIO en febrero, en general fue fácil, pero en algunas partes también fue complicado. Los tips importantes de instalación a veces solo seguían existiendo en comentarios de GitHub que mencionaban archivos borrados hace años. Este año estamos ampliando un clúster del orden de 100PB, pero el precio del soporte es casi igual al del almacenamiento S3 y ni siquiera incluye el costo real de hosting. No se siente como un gran valor para el cliente y ahora estamos en una situación donde no queda más que depender de lo que sigue disponible. Agradezco a MinIO por su contribución al mundo y al negocio, pero parece que esa contribución ya se está frenando, y da la impresión de que el próximo año veremos el último release open source. También ofrecieron que, si alguien usa MinIO y el costo del soporte le resulta pesado, puede contactarlos
    • Me parece completamente absurdo que el costo del soporte sea casi igual al del almacenamiento S3. Yo buscaría cotizaciones competitivas con NetApp o Dell. No lo he hecho recientemente, pero hace unos años salía alrededor de la mitad que S3, incluyendo el hosting
    • Más grave que esconder las imágenes precompiladas me parece haber eliminado por completo la documentación open source. Estaría bueno recopilar y dejar guardados esos tips de instalación en algún lugar que no sean comentarios de GitHub
    • Yo también quedé muy molesto cuando vi que quitaron la consola durante una actualización sin previo aviso. Hace como un mes empecé a buscar alternativas a MinIO y encontré RustFS; llevo más de un mes probándolo y sigue mejorando. La comunidad también corrige bugs rapidísimo. Ojalá YC invierta en esa empresa
    • Viéndolo en retrospectiva, quizá fue una suerte no haberme sumado a MinIO como responsable de documentación de soporte
    • Viendo que se armó un clúster de 100PB y casi no generó ingresos, entiendo por qué MinIO está tomando estas decisiones. Me pregunto si terminará “valkeyed” como Redis, aunque no creo que AWS sea quien lo impulse
  • MinIO ya había quitado todas las funciones útiles del web UI de la edición comunitaria, poniendo como excusa que era difícil de mantener. También esta vez se ve como otro ejemplo de empresas financiadas por VC que primero crecen y luego quitan la escalera
    • Preguntan qué escalera quitaron. Si haces un fork del último commit estable, puedes crear un competidor, así que hazlo tú mismo
    • Sobre si eso es una excusa: mantener también cuesta dinero, y las versiones anteriores según la licencia se pueden modificar y usar por cuenta propia. Pensar que el open source garantiza actualizaciones y soporte gratis para siempre es casi una fantasía. Incluso en proyectos open source sin empresa detrás pasa seguido. Los maintainers se agotan fácilmente y de todas partes solo reciben pedidos de actualizaciones gratis, con casi ninguna compensación
    • Hay que ser conscientes del riesgo de que un servicio financiado por VC no garantiza ni soporte estable ni beneficios gratuitos
  • Si es un proyecto open source, me pregunto por qué la gente tendría motivo para quejarse de no poder recibir imágenes Docker gratis. Si la demanda es suficiente, alguien de confianza automatizará la creación de imágenes Docker. Más bien me molesta que en la página de precios del sitio de Min.io no aparezcan los precios. Tomando como referencia a su competidor Cloudian, parece que son más de USD 96,000 al año, así que no se ve precisamente barato (Cloudian es un producto cerrado)
    • Cuando una empresa distribuye imágenes Docker públicamente durante mucho tiempo, los usuarios terminan confiando en eso y eligiendo el producto por ese motivo. En especial con vulnerabilidades de seguridad (CVE) activas, cortar la distribución de imágenes sin ningún aviso y dejando solo un commit silencioso en el README apenas 4 días antes se siente casi malicioso. Si de verdad hubieran pensado en la comunidad, habría existido un período de aviso, un anuncio dentro del repo, una ruta de migración o una política para apoyar a maintainers de la comunidad. Pero esta vez simplemente lo cambiaron en silencio y después se quedaron callados, sin explicación. Ni siquiera publicaron imágenes con el parche de vulnerabilidades importantes. Es irresponsable
    • Creo que MinIO no es realmente open source, sino solo código fuente disponible. Antes ejecuté una instancia de MinIO y luego el equipo legal de MinIO me contactó diciendo que “inyectar un archivo de configuración también es modificar el código fuente”, y que eso violaba la licencia open source. Dejo algunos hilos de HN relacionados: 35328316, 32148007
    • Me cansa esa idea de que, por ser open source, uno no puede expresar ninguna molestia. MinIO está moviendo a áreas de pago o no comerciales funciones que durante mucho tiempo ofreció como parte de su propuesta open source, así que es normal sentirse decepcionado si lo estabas usando. Me parece totalmente razonable estar inconforme
    • Este tipo de movimientos puede verse como un debilitamiento de la comunidad. Hacerlo incómodo a propósito seguramente mejora la conversión a pago, pero habría sido mejor dejar clara desde el inicio la diferencia entre el producto open source y el comercial
    • Claramente tienen derecho a dejar de construir imágenes Docker, pero los usuarios también tienen derecho a irse y buscar alternativas. Si es una empresa que quita funciones, yo tampoco quiero usarla
  • En realidad no me parece un gran problema. Ya existen alternativas, porque otros como Bitnami siguen manteniendo imágenes públicas de Minio. Puede que Minio incluso pueda impedir eso por la licencia, pero además de la imagen oficial hay muchas imágenes compatibles. Minio parece tener demasiado orgullo por su propio producto. Tiene valor como almacenamiento de objetos compatible con S3, pero no es la única opción. Mientras más incómodo se vuelva usarlo, más fácil será que aparezcan reemplazos. Las empresas que cierran productos open source populares casi siempre terminan disparándose al pie. Hashicorp lo hizo con Terraform y la comunidad se fue a clones como OpenTofu. Redis fue reemplazado por Valkey, MySQL por MariaDB y OwnCloud por Nextcloud. Puede que el mercado empresarial que necesita contratos de soporte siga ahí, pero se rompe la vía de entrada de nuevos clientes. No hay mucha razón para usar un producto comercial cerrado sin comunidad. Este movimiento de MinIO es perjudicial para ellos mismos
    • Se dijo que Bitnami y otros podrían seguir ofreciendo imágenes públicas de MinIO, pero incluso eso está por suspenderse pronto. Información relacionada: anuncio de cambios de Bitnami, post de HN
  • No es un reemplazo total, pero en otros posts de HN han hablado bien de una alternativa llamada Garage
    • Me parece una alternativa bastante viable para self-hosting. Le faltan algunas cosas frente a MinIO y no es perfectamente compatible, pero para la mayoría de las aplicaciones funciona bien
    • Garage tiene bastantes cosas que configurar, así que puede ser algo engorroso
    • Ceph también tiene su propia función de almacenamiento de objetos compatible con S3: Ceph Object Gateway
    • No soporta if-match
  • Siento que el título del envío en HN es engañoso. Puede hacer parecer que MinIO realmente abandonó el open source, y eso se siente como un problema mucho más grande. Creo que un título más correcto sería algo como "MinIO deja de distribuir imágenes Docker gratuitas". Ver el README relacionado
    • Ya cambié el título como sugeriste
    • Como referencia, el título original era 'minio went source-only'. Desde la perspectiva de un usuario de Gentoo, no es gran problema
    • Yo también entendí mal el título al principio. Es interesante, pero sí, el riesgo de confusión es alto
  • Nosotros usamos MinIO en entornos de clientes, así que creamos y distribuimos nuestro propio proceso de builds nocturnos en minio-builds. Si hace falta, pueden hacer fork y usarlo. Ejemplo: 
    docker run -p 9000:9000 -p 9001:9001 ghcr.io/golithus/minio:latest
    • Como referencia, el Dockerfile de ese repositorio tiene solo 19 líneas y básicamente se limita a copiar el binario: Dockerfile. No es difícil de mantener ni de probar, así que el equipo de MinIO no necesariamente tiene que distribuir imágenes Docker gratis; si hace falta, uno mismo puede hacerlo
    • Me da curiosidad cómo manejan con los clientes la revisión de cumplimiento de licencia al entregar software bajo AGPL. Incluso con otras licencias (como MPL) he visto clientes que lo rechazan, así que me interesaría conocer un caso real
  • Entiendo ambos lados de esta discusión
    1. MinIO es un negocio y no le debe nada gratis a nadie
    2. Los usuarios de la versión OSS también tienen libertad de expresar su descontento Si usaron OSS sin posibilidad de monetizarlo como herramienta de marketing, es natural que la confianza de la comunidad se erosione y su efecto también se debilite. Es el mismo problema que con el content marketing o el marketing de influencers: al final se desdibuja la esencia
    • Todos deberían entender como algo obvio que una empresa con fines de lucro no va a seguir aportando al open source si eso ya no ayuda a su negocio. Si es una empresa financiada por VC, tarde o temprano el cobro o las restricciones son inevitables. Si vas a depender a largo plazo de un OSS respaldado por una empresa, necesariamente debes considerar la posibilidad de que en el futuro se vuelva de pago, y entender su modelo de negocio. Si se basa en VC, también puede haber cortes o giros bruscos, así que conviene evitar usar como pieza crítica algo que vayas a necesitar sí o sí durante años
    • Coincido con los puntos mencionados antes. No creo que el problema real sea, por sí mismo, que MinIO haya dejado de distribuir imágenes Docker gratis. Aunque fabriquen imágenes, el costo de infraestructura o personal no es tan alto, y la comunidad u otras empresas pueden encargarse sin problema. Ya había alternativas en otros proyectos, como Bitnami. El problema de fondo es este patrón de comportamiento. Sacaron el web UI de la edición comunitaria con la excusa de que era difícil de mantener, y tampoco cuidaron la documentación. Solo que esas cosas fueron pasando en silencio, y la controversia explotó recién con el tema de las imágenes Docker. Ni siquiera hicieron lo mínimo, como publicar imágenes con parches de vulnerabilidades. Al final da la impresión de que descuidan a la comunidad y están totalmente enfocados en los ingresos, incluso pateando la confianza que ellos mismos habían ganado gracias a promesas anteriores
  • Actualmente estamos preparando un proceso para construir binarios y pronto lo publicaremos en golithus. Usamos con frecuencia la edición comunitaria de MinIO, pero creo que en adelante habrá menos ocasiones para distribuirla directamente. Para despliegues pequeños pienso probar Garage, y para despliegues grandes una combinación de Ceph/Rook. También me gustaría escuchar experiencias reales con Garage (especialmente en entornos de varios PiB)
    • Ya terminamos el proceso de build y lo estamos distribuyendo en minio-builds
    • Los desarrolladores de Garage dijeron que existen casos de operación a gran escala de más de 10PiB, pero yo no lo he probado personalmente. Lo mejor sería preguntar en el chat de Matrix
  • Viendo el cambio reciente en el README, MinIO pasó de decir "no hay releases programados para el repositorio de MinIO y puede haber releases sin previo aviso si es necesario" a "ahora la edición comunitaria se distribuye solo como código fuente". O sea, dicen que no han detenido el proyecto open source como tal, pero la distribución de binarios se está limitando a clientes historial de cambios del README