被“白嫖”太狠，高达10亿次下载量的老牌开源软件官宣：停发免费Docker镜像，要用就自己建

曾被视为全球增长最快的对象存储开源系统、下载量超过 10 亿次的 MinIO，最近在开源社区掀起了一场不小的风波。事情的起因是：MinIO 于 2025 年 10 月 15 日发布了针对安全漏洞的 CVE 合规版本，但部分用户在 DockerHub 和 Quay.io 上却找不到官方镜像，只能在 GitHub 上提问：“新镜像去哪了？”

随后，MinIO 核心开发者 Harshavardhana 现身回复道：“MinIO 目前只提供源码分发，如果想用容器镜像，需要自己构建。”

殊不知，这一回答瞬间引爆了社区讨论，不少人直呼不可思议，“这个主流的开源项目怎么突然间变了味”，争议之下，相关话题也登上了 Hacker News 热榜第一。

MinIO 是什么？

简单来看，MinIO 是一款高性能分布式对象存储系统，采用 GNU AGPL v3.0 许可证发布，兼容 Amazon S3 API，可以在云端或本地环境中搭建高吞吐量、低延迟的存储系统。

凭借易用性和性能，它被诸多公司广泛应用于云原生架构、人工智能、大数据分析等场景。同时，MinIO 在开源社区中表现活跃，拥有超过 1,400 个依赖包，在 GitHub 上有 56K Star、6.3K Fork，得益于此，它在 Docker Hub 上的下载量超过 10 亿次。

就国内市场而言，此前有数据统计，MinIO 被阿里巴巴、腾讯、百度、中国联通、华为、中国移动等超过 9,000 家企业采用，尤其是在构建私有云存储、混合云存储和分布式存储方面的优势。

停止社区版二进制分发所带来的影响

过去，开发者可以直接使用官方 Docker 镜像快速部署 MinIO，这也是很多企业 CI/CD 流程的核心环节。

如今，这条便利的渠道被官方关闭，意味着用户必须自己从源码构建容器，这无疑增加了运维难度和潜在安全风险。

因为对许多企业和开发者而言，Docker 镜像是日常部署的核心方式，倘若没有镜像，就意味着自动更新、漏洞修复流程都会中断。此外，自行构建需要额外配置、测试，增加维护成本，这对安全合规要求高的企业（特别是有 CVE 要求的）影响尤其大。

所以，当 MinIO 宣布“不再发布镜像，只提供源码”后，引发了社区大量批评，更多的用户指出 MinIO：

缺乏公告：许多开发者称变更未提前通知，影响了现有部署计划。

安全风险：部分用户担心，CVE 合规镜像不再提供，运行实例将无法自动更新，可能留下安全隐患。

企业信任问题：付费企业用户表示不满，“我们支付了许可证费用，但开源版本的 OIDC 代码被移除，Docker 镜像也停止分发，这看起来像锁定策略，让人失去信任。”

功能移除：MinIO 控制台部分功能被删除，也让用户感到不便。

防止“白嫖”，MinIO 的这些年

论及 MinIO 为什么要这么做，也算是事出有因。归根究底，还是因为“白嫖”党太多了，这么多年 MinIO 也做了很多措施以及修改了多项政策希望让大家合理使用开源项目，以及降低自己免费维护开源软件的成本，譬如：

MinIO 原本采用的是 Apache 2.0，允许用户自由使用、修改和再发布。随着项目流行度提升，部分大公司可能直接用 MinIO 做商业 SaaS 或云服务，而几乎不贡献回社区，这让 MinIO 的维护方面临巨大资源压力。

2021 年，MinIO 决定把开源协议改为 APGLv3，要求使用者在提供服务时开放源代码，从而保障项目利益和社区贡献。

今年 5 月，彼时最新 Minio CE 版本删除了控制台管理功能，其背后的原因有二，一方面是为了降低免费版本的维护成本，同时推动企业版商业化，让开发团队能够把更多精力集中在核心存储功能和性能优化上；社区版用户仍可通过源码自行构建控制台或使用第三方工具，但官方不再提供现成的管理界面。

再者，其最新做下的决定就是停止社区版二进制分发，也就是众人提及的停止分发免费的 Docker 镜像。

官方在 MinIO GitHub 项目中的 README 链接写得也很清楚：

仅源码分发

重要提示：MinIO 社区版现在仅以源码形式分发。我们将不再提供社区版的预编译二进制版本。

安装最新版 MinIO 社区版

使用 MinIO 社区版有两种方式：

1. 从源码安装（推荐）：go install github.com/minio/minio@latest

2. 使用提供的 Dockerfile 构建 Docker 镜像

旧版二进制发布

历史的预编译二进制版本仍可作为参考使用，但不再维护：

GitHub Releases: https://github.com/minio/minio/releases

直接下载: https://dl.min.io/server/minio/release/

这些旧版二进制不会再收到更新。我们强烈建议使用源码构建，以获得最新功能、漏洞修复和安全更新。

社区反应：不满、担忧，有的呼吁抓紧分叉

事实上，Hacker News 上，也有网友透露，其实 MinIO 此举早有前兆，“文档几周前就被弃用了，现在连 Docker 镜像也不更新，开源项目可能要停滞了。”

网友 mattbee 评论道：

他们几周前就放弃了（开源版本的）文档维护——我觉得这件事反而更严重。

来自他们 10 月 10 日的 Slack 消息：

“今早我们已下线 docs.min.io/community 上的文档站点，并将在可能的情况下重定向到对应的 AIStor 文档。” 

minio/docs 仓库已经两周没有更新了，看起来也不会再更新了。

我在今年二月份搭建 MinIO 集群时，整体上既令人印象深刻地简单，又在一些细节上略显棘手。最关键的安装提示——比如关于 100Gb 网络、Linux 内核调优和故障排查的内容——当时都藏在 GitHub 的评论区里，指向的是几年前就已经被删掉的文件。

我给客户搭建的集群今年会扩展到大约 100PB。MinIO 的支持服务价格略低于等量 S3 存储的成本（不包括托管费用），但对客户来说，这个价值并不算高。我们现在也只能尽量维持现状，看看未来社区能否围绕源码继续发展起来。

我不是那种“自由软件至上”的人，我真心感谢 MinIO 过去所做的努力，以及他们让很多业务得以实现。但现在看来，他们已经很明显地在停止这些贡献。我敢打赌，明年可能就会出现最后一个开源版发布。

虽然后来 MinIO 团队出面解释称，这次停止分发 Docker 镜像 与 CVE 漏洞无关，只是早已计划的调整。只是恰巧发布与安全更新撞在一起，导致了误解。

然而，开发者们并不买账。

有人表示：“继控制台功能被悄然移除之后，现在连 Docker 镜像的分发也停止了。我们已经迁移到 RustFS。”

社区内甚至有人呼吁分叉项目或迁移到其他 S3 兼容方案。

还有人批评 MinIO 的管理方式：“这正是一个典型案例——公司打造了出色的开源软件，免费分发却无法实现盈利，惹怒用户后又开始收费。这简直像是在收‘保护费’一样。”

也有网友质问称：

等等……你们真的要放弃那个下载量超过 10 亿次的 MinIO 官方 Docker 镜像吗？

我相信你们肯定有自己的理由，但我实在想不明白，为什么有人会认为放弃这样一个受欢迎的发布渠道对公司是好事。

发布之前有正式公告吗？

而且这时机也太糟糕了吧……你们完全可以等到修复版或功能更新版再做这件事，可偏偏选择在一次严重安全漏洞修复版时突然下线，未免太狠了点。

总之，谢谢你们一路以来的贡献——我该去 fork 一下然后自己构建了。

不过，也有声音为开发者辩护：

“免费提供官方容器镜像同样需要时间和资源，从商业角度看，削减免费支持是合理的。”

“开发者也要谋生，如果没有足够的捐助和支持，他们不得不做出取舍。这其实是理想主义和现实之间的冲突。”

“虽然他们没有提前通知确实不妥，但如果真的有人在用免费的开源软件搭建上百 PB 的集群，那公司转向商业化也可以理解。”

其实这是一场理想与现实的碰撞：一方面，MinIO 提供了高性能、免费开源的软件；另一方面，持续维护镜像和文档需要成本，公司必须在开源和商业化之间做出取舍。开源软件的理想与商业现实之间，总是存在微妙的平衡。

对此，你怎么看？

参考：

https://news.ycombinator.com/item?id=45665452

https://github.com/minio/minio/issues/21647#issuecomment-3418675115

https://www.reddit.com/r/selfhosted/comments/1ocggb6/minio_moving_to_a_source_only_distribution/

https://gigazine.net/gsc_news/en/20251023-mineo-stops-distributing-free-docker-images

本文来自微信公众号“CSDN”，整理：屠敏，36氪经授权发布。