MinIO hentikan distribusi image Docker gratis

 (github.com/minio)
3 poin oleh GN⁺ 2025-10-23 | 3 komentar | Bagikan ke WhatsApp
  • Perangkat lunak object storage MinIO menghentikan distribusi image Docker resmi, memicu reaksi keras di komunitas
  • Penghentian dilakukan tanpa pemberitahuan tepat setelah patch kerentanan keamanan (CVE), sehingga menimbulkan kekhawatiran bahwa banyak lingkungan instalasi yang memakai pembaruan otomatis akan terekspos pada risiko keamanan
  • Para pengguna mengkritik menurunnya kepercayaan pada open source dan strategi lock-in pelanggan enterprise, sementara diskusi tentang build mandiri atau proyek fork terus meluas
  • Sebagian pengguna menyoroti “kecenderungan komersialisasi open source yang didanai VC” dan menyebut kemungkinan proyek pengganti dari komunitas seperti kasus nextCloud
  • Pihak MinIO menjelaskan bahwa ini adalah “keputusan yang sudah dibuat sebelum isu keamanan dan hanya penghentian build Docker semata”, namun kontroversi terus berlanjut

Penghentian distribusi image Docker MinIO

  • Tim MinIO menyatakan akan menghentikan penyediaan image Docker resmi, sehingga memicu kontroversi
    • Image tersebut sebelumnya populer dengan total unduhan lebih dari 1 miliar kali
    • Pengguna komunitas mengkritik bahwa “keputusan pada saat pembaruan keamanan dihentikan adalah tindakan yang tidak tepat”

Reaksi komunitas dan meluasnya ketidakpercayaan

  • Para pengguna menilai langkah ini sebagai ‘rug pull’ yang dilakukan tanpa pemberitahuan sebelumnya
    • Muncul kritik bahwa ini adalah “keputusan strategis untuk lock-in pelanggan enterprise”
    • Ada pula penilaian bahwa “setelah penghapusan kode OIDC dan penghentian Docker, arahnya makin tertutup”
  • Sebagian menyatakan reaksi seperti “saya sudah memakainya dan merekomendasikannya selama 6 tahun, tapi kini tidak bisa lagi dipercaya

Masalah keamanan dan pembaruan

  • Komunitas memperingatkan bahwa akibat terhentinya pembaruan otomatis, banyak sekali lingkungan instalasi tidak akan menerima patch kerentanan
    • Sistem pembaruan otomatis seperti Watchtower tidak lagi berfungsi
    • Akibatnya, home server kecil dan layanan komunitas bisa terekspos pada risiko keamanan dalam jangka panjang

Kontroversi komersialisasi dan rusaknya nilai open source

  • Para pengguna menyoroti “tren perusahaan open source yang didukung VC untuk menyingkirkan komunitas dan beralih ke model berbayar
    • Dokumentasi dan panduan masih merekomendasikan penggunaan Docker, tetapi image terkait masih menyisakan CVE yang belum ditambal
    • Muncul usulan agar “peringatan keamanan dicantumkan di README dan tombol DockerHub dihapus”
  • Sebagian berpendapat bahwa “biaya build otomatis melalui GitHub Actions pada praktiknya mendekati nol”, sehingga langkah ini disebut sebagai “keputusan yang berniat buruk

Beragam respons dan kesimpulan perdebatan

  • Sebagian pengembang mengkritik reaksi berlebihan dengan mengatakan “tinggal build sendiri”, tetapi banyak yang membalas bahwa “di lingkungan perusahaan, custom build yang berulang menimbulkan biaya”
    • Ada pendapat bahwa “open source tidak punya kewajiban kepada siapa pun, tetapi bila niat komersialnya jelas, kurangnya transparansi adalah masalahnya
  • Pihak MinIO menilai diskusi ini “tidak konstruktif” lalu mengunci issue tersebut dan menutupnya

Bacaan terkait

3 komentar

 
t7vonn 2025-10-23

Ayo, rustfs!
 
kimjoin2 2025-10-23

“Di lingkungan perusahaan, build kustom yang berulang menimbulkan biaya”
VS
“Biaya build otomatis melalui GitHub Actions pada praktiknya nyaris 0”

wkwk
 
GN⁺ 2025-10-23
Komentar Hacker News
  • Beberapa minggu lalu saya melihat pengumuman dari MinIO bahwa mereka menghentikan pekerjaan dokumentasi untuk codebase open source. Pada 10 Oktober di Slack mereka mengatakan, "situs dokumentasi docs.min.io/community turun pagi ini, dan jika memungkinkan akan dialihkan ke dokumentasi AIStor". Repositori minio/docs juga sudah tidak diperbarui selama 2 minggu dan tampaknya tidak akan diperbarui lagi. Saat membangun klaster MinIO pada Februari, secara umum prosesnya mudah tetapi ada juga bagian yang sulit. Tips instalasi penting kadang hanya tersisa di komentar GitHub yang merujuk ke file yang sudah dihapus beberapa tahun lalu. Tahun ini kami sedang memperluas klaster skala 100PB, tetapi harga dukungannya hampir sama dengan penyimpanan S3 dan itu bahkan belum termasuk biaya hosting sebenarnya. Itu tidak terasa memberi nilai besar bagi klien, dan kami terpaksa hanya mengandalkan apa yang masih tersisa sekarang. Saya berterima kasih atas kontribusi MinIO kepada dunia dan bisnisnya, tetapi kini kontribusi itu sedang dihentikan, dan tampaknya tahun depan akan ada rilis open source terakhir. Ia juga menawarkan untuk dihubungi jika ada yang memakai MinIO dan merasa biaya dukungannya memberatkan
    • Saya benar-benar merasa biaya dukungan yang hampir sama dengan penyimpanan S3 itu tidak masuk akal. Menurut saya sebaiknya minta penawaran kompetitif dari NetApp atau Dell. Saya belum melakukannya lagi baru-baru ini, tetapi beberapa tahun lalu harganya sekitar setengah dari S3, termasuk hosting
    • Dibanding menyembunyikan image yang sudah dibangun sebelumnya, menghapus dokumentasi open source sepenuhnya terasa jauh lebih serius. Akan bagus kalau tips instalasi itu dirangkum dan disimpan di tempat lain selain komentar GitHub
    • Saya juga sangat kesal ketika console dihapus saat upgrade tanpa pemberitahuan. Sekitar sebulan lalu saya mulai mencari alternatif MinIO dan menemukan RustFS; saya sudah mengujinya lebih dari sebulan dan terus membaik. Komunitasnya juga sangat cepat menangani bug. Saya berharap YC berinvestasi di perusahaan ini
    • Melihat ke belakang, saya jadi merasa mungkin untung saya tidak bergabung ke MinIO sebagai penanggung jawab dokumentasi dukungan
    • Melihat klaster 100PB dibangun tetapi hampir tidak menghasilkan pendapatan, saya bisa memahami kenapa MinIO mengambil keputusan seperti ini. Saya penasaran apakah ini akan di-"valkeyed" seperti Redis (meski saya rasa AWS bukan pihak yang akan melakukannya)
  • MinIO dulu menghapus semua fitur yang berguna dari web UI edisi komunitas dengan alasan sulit dirawat. Kali ini juga terlihat sebagai contoh perusahaan yang didanai VC tumbuh dulu lalu menarik tangga setelahnya
    • Ada yang bertanya tangga apa yang ditarik. Kalau fork commit normal terakhir, Anda bisa membuat pesaing, jadi silakan lakukan sendiri
    • Soal apakah itu hanya alasan, perawatan memang memakan biaya, dan versi lama sesuai lisensi bisa diperbaiki sendiri untuk dipakai. Menganggap open source menjamin update dan dukungan gratis selamanya terasa seperti fantasi. Pada proyek open source tanpa perusahaan pun hal seperti ini sering terjadi. Para maintainer mudah kelelahan dan hanya terus menerima tuntutan update gratis dari berbagai arah dengan imbalan yang hampir tidak ada
    • Perlu ada kesadaran risiko bahwa layanan yang didanai VC tidak menjamin dukungan yang stabil maupun manfaat gratis
  • Jika ini proyek open source, saya bertanya-tanya kenapa orang harus mengeluh karena tidak bisa lagi mendapat image Docker gratis. Kalau permintaannya cukup besar, seseorang yang tepercaya pasti akan mengotomatisasi pembuatan image Docker itu. Justru saya lebih kesal karena halaman harga di situs Min.io tidak menampilkan harga. Dari referensi tentang pesaing Cloudian, biayanya lebih dari $96.000 per tahun, jadi sulit disebut murah (Cloudian adalah produk tertutup)
    • Jika image Docker didistribusikan secara publik dalam waktu lama, para pengguna akan memilihnya dengan mengandalkan fakta itu. Khususnya ketika ada kerentanan keamanan (CVE), menghentikan distribusi image tanpa pemberitahuan dan hanya meninggalkan commit diam-diam di README empat hari sebelumnya terasa hampir seperti tindakan yang berniat buruk. Kalau benar berpihak pada komunitas, seharusnya ada masa pemberitahuan, pengumuman di repo atau jalur migrasi, dan kebijakan yang membantu pengelola komunitas. Tetapi kali ini mereka mengubahnya diam-diam lalu tetap bungkam tanpa penjelasan. Bahkan ketika ada kerentanan besar, mereka juga tidak mendistribusikan image yang sudah ditambal. Tidak bertanggung jawab
    • Saya merasa MinIO bukan benar-benar open source, melainkan sekadar source-available. Saya pernah menjalankan instance MinIO, lalu dihubungi tim legal MinIO yang mengatakan bahwa “injeksi file konfigurasi juga merupakan perubahan source” dan mengancam gugatan pelanggaran lisensi open source. Saya meninggalkan beberapa thread HN terkait: 35328316, 32148007
    • Saya lelah dengan anggapan bahwa hanya karena sesuatu itu open source, orang tidak boleh menyatakan ketidakpuasan apa pun. MinIO memindahkan fitur-fitur yang sebelumnya diberikan sebagai bagian dari open source ke ranah berbayar/nonkomersial jauh setelah orang memakainya, jadi wajar bila pengguna merasa kecewa. Menurut saya keluhan itu sepenuhnya masuk akal
    • Langkah seperti ini bisa terlihat sebagai pelemahan komunitas. Memang membuat produk sengaja tidak nyaman bisa menaikkan tingkat konversi berbayar, tetapi sebaiknya sejak awal perbedaan antara open source dan produk komersial dibuat jelas
    • Mereka jelas berhak menghentikan build image Docker, tetapi pengguna juga berhak pergi mencari alternatif. Jika sebuah perusahaan mencabut fitur, saya juga tidak ingin memakainya
  • Sebenarnya saya tidak menganggap ini masalah besar. Sudah ada pihak lain seperti Bitnami yang memelihara image publik Minio, jadi alternatif memang ada. Secara lisensi Minio mungkin bisa mencoba melarang hal seperti itu, tetapi selain image resmi juga ada banyak image kompatibel. Minio tampaknya terlalu bangga pada produknya sendiri. Sebagai object storage kompatibel S3 memang berguna, tetapi bukan satu-satunya pilihan. Semakin tidak nyaman digunakan, semakin mudah pengganti bermunculan. Perusahaan yang mengunci produk open source populer hampir selalu menusuk diri sendiri. Terraform di Hashicorp seperti itu, lalu komunitas pindah ke klon seperti OpenTofu. Redis digantikan Valkey, MySQL oleh MariaDB, OwnCloud oleh Nextcloud. Pasar enterprise yang butuh kontrak dukungan mungkin tetap ada, tetapi jalur masuk pelanggan baru rusak. Tidak ada alasan memakai produk komersial tertutup tanpa komunitas. Langkah MinIO seperti ini merugikan diri sendiri
    • Memang sempat disebutkan bahwa Bitnami dan lainnya bisa terus menyediakan image MinIO publik, tetapi itu pun akan segera dihentikan. Lihat penjelasan terkait: Pengumuman perubahan Bitnami, postingan HN
  • Ini memang bukan pengganti penuh, tetapi alternatif bernama Garage pernah mendapat penilaian baik di postingan HN lain Garage
    • Saya rasa ini alternatif yang cukup layak untuk self-hosting. Memang ada beberapa kekurangan dibanding MinIO dan kompatibilitasnya tidak sempurna, tetapi untuk kebanyakan aplikasi sudah cocok
    • Garage punya cukup banyak hal yang harus diatur, jadi agak merepotkan
    • Ceph juga punya fitur object storage kompatibel S3 sendiri Ceph Object Gateway
    • Tidak mendukung if-match
  • Saya merasa judul kiriman HN ini menyesatkan. Kesan yang muncul seolah MinIO benar-benar meninggalkan open source, sehingga terasa seperti masalah yang lebih besar. Menurut saya judul seperti "MinIO menghentikan distribusi image Docker gratis" akan lebih tepat. Silakan lihat README terkait
    • Judul sudah saya ubah sesuai usulan
    • Sebagai catatan, judul aslinya adalah 'minio went source-only'. Dari sudut pandang pengguna Gentoo, ini bukan masalah besar
    • Saya juga sempat salah paham saat pertama membaca judulnya. Memang menarik, tetapi jelas potensi salah tafsirnya tinggi
  • Kami memakai MinIO di lingkungan pelanggan, jadi kami membuat dan mendistribusikan sendiri proses build nightly minio-builds. Silakan fork dan gunakan bila perlu. Contoh: 
    docker run -p 9000:9000 -p 9001:9001 ghcr.io/golithus/minio:latest
    • Sebagai referensi, Dockerfile di repositori ini hanya 19 baris yang sekadar menyalin binary Dockerfile. Pemeliharaan dan pengujiannya juga tidak sulit, jadi pengelola MinIO sebenarnya tidak perlu repot mendistribusikan image Docker gratis, dan jika perlu orang lain juga bisa melakukannya sendiri
    • Saya penasaran bagaimana penanganan pemeriksaan kepatuhan lisensi pelanggan saat mengirim software berlisensi AGPL. Lisensi lain (seperti MPL) pun pernah ditolak oleh pelanggan kami, jadi saya ingin mendengar contoh nyata
  • Saya bisa memahami kedua sisi dalam perdebatan ini
    1. MinIO adalah bisnis dan tidak punya kewajiban memberi sesuatu secara cuma-cuma kepada orang lain
    2. Pengguna versi OSS juga bebas menyatakan ketidakpuasan Jika OSS yang tidak bisa dimonetisasi dipakai sebagai alat pemasaran, tentu kepercayaan komunitas runtuh dan efektivitasnya juga menurun. Sama seperti content marketing atau influencer marketing, pada akhirnya inti substansinya ikut kabur
    • Semua orang seharusnya paham bahwa perusahaan komersial tidak akan terus memberi kontribusi open source jika itu tidak membantu bisnisnya. Kalau perusahaannya didanai VC, pada akhirnya monetisasi atau pembatasan pasti terjadi. Jika ingin bergantung jangka panjang pada OSS berbasis perusahaan, kita wajib mempertimbangkan kemungkinan berbayar di masa depan dan memahami model bisnisnya. Kalau berbasis VC, penghentian atau perubahan mendadak juga bisa terjadi, jadi sebaiknya hindari hal yang harus dipakai secara kritis selama bertahun-tahun
    • Saya setuju dengan poin-poin tadi. Menurut saya, penghentian distribusi image Docker gratis oleh MinIO sendiri bukan isu utamanya. Sekalipun membuat image, biaya infrastruktur dan SDM-nya tidak besar, dan komunitas atau perusahaan lain sepenuhnya bisa mengambil alih. Di proyek lain seperti Bitnami pun ada alternatif. Masalah mendasarnya adalah pola perilaku seperti ini. Mereka menghapus web UI dari edisi komunitas dengan dalih “sulit dirawat”, lalu juga tidak mengurus dokumentasi. Hanya saja hal-hal itu sebelumnya lewat begitu saja, lalu kontroversi membesar lewat isu image Docker. Mereka bahkan tidak melakukan langkah minimum seperti menyediakan patch untuk kerentanan. Pada akhirnya, yang terlihat adalah mereka mengabaikan komunitas dan terlalu fokus pada pendapatan, sampai-sampai kepercayaan yang dulu diperoleh dari janji-janji mereka sendiri pun kini sedang mereka singkirkan
  • Saat ini kami sedang menyiapkan proses build binary, dan akan segera membukanya di golithus. Kami cukup sering memakai MinIO Community Edition, tetapi saya rasa ke depan hari-hari ketika kami mendistribusikannya sendiri akan makin berkurang. Untuk deployment kecil kami berencana mencoba Garage, dan untuk deployment besar kombinasi Ceph/Rook. Saya juga ingin mendengar pengalaman penggunaan Garage di dunia nyata (terutama di lingkungan multi-PiB)
    • Proses build sudah selesai dibuat, dan didistribusikan di minio-builds
    • Para pengembang Garage mengatakan ada kasus operasi skala besar di atas 10PiB, tetapi saya belum pernah mengalaminya sendiri. Bertanya di chat Matrix tampaknya yang paling tepat
  • Jika melihat perubahan README terbaru, MinIO berubah dari "tidak ada rilis terjadwal untuk repositori MinIO, dan rilis bisa dilakukan tanpa pemberitahuan bila diperlukan" menjadi "mulai sekarang Community Edition hanya didistribusikan dalam bentuk source code". Jadi, meskipun mereka mengatakan proyek open source-nya sendiri tidak dihentikan, distribusi binary kini dibatasi hanya untuk pelanggan Riwayat perubahan README