開源不是慈善:MinIO 的轉身,刺痛了誰的技術棧
背景
nZREGF
在日常的安全運維工作中,我們收到了一則關于 MinIO 的高危安全公告:
CVE 漏洞通告:A CVE was reported regarding Privilege Escalation via Session Policy Bypass in Service Accounts and STS, and has been fixed in this release.
官方建議:All users are advised to download and upgrade their MinIO setup immediately.
該漏洞涉及服務賬戶(Service Accounts)和安全令牌服務(STS)的會話策略繞過,可能導致權限提升攻擊。需要立即對生產環境中的 MinIO 實例進行升級。
然而,在執行常規的容器鏡像更新操作時,我們發現:MinIO 官方已停止在 Docker Hub 發布公開鏡像。所以本文就給大家扒一扒 Minio 官方的 “騷操作”。
MinIO 是什么?
MinIO 是一個高性能的分布式對象存儲系統,兼容 Amazon S3 API,在云原生生態中具有以下技術特點:
? 云原生架構:Kubernetes-native 設計,支持容器化部署
? 高性能:采用 Go 語言開發,單節點讀寫性能可達數 GB/s
? S3 兼容性:完全兼容 AWS S3 API,便于應用遷移
? 分布式能力:支持糾刪碼(Erasure Code)和分布式鎖
? 生態影響力:Docker Hub 累計下載量超過 10 億次
開源許可證變更風波
c5nsHe
在 PIGCLOUD(基于 Spring Cloud 的微服務開發平臺)的文檔中,關于 S3 對象存儲集成的章節曾經有這樣一段配置說明,并特別在注釋中標注了“注意版本號,此版本為 Apache 2.0 協議可以商用”。不少同學在實際項目使用時對此產生過疑問:為什么需要關注版本和協議?其實,這正與 MinIO 此后幾年的開源協議變更風波密切相關。本文也借此機會,給大家系統梳理一下 MinIO 的開源協議演變及其背后的爭議與影響。
從 Apache 2.0 到 AGPLv3 的遷移
MinIO 在 2019-2021 年間完成了開源許可證的重大變更,從 Apache 2.0 遷移到 AGPLv3。
AGPLv3(GNU Affero General Public License v3)相較于傳統的 GPLv3,增加了網絡使用條款:
第13條:遠程網絡交互;與修改版本一起使用
如果您修改了程序,您修改后的版本必須顯著地向所有通過計算機網絡與之遠程交互的用戶
提供一個機會,使其能夠免費通過標準或習慣的軟件復制方式接收到該程序的完整對應源代碼。MinIO 公司對許可證合規性進行了積極的執行:
? Nutanix 案例:公開指控其未經授權使用 MinIO 代碼,最終 Nutanix 移除了相關組件
? Weka 案例:同樣因許可證爭議被撤銷使用許可
這些案例說明,MinIO 將開源許可證作為其核心商業策略手段。雖然 AGPLv3 在理論上只要用戶不修改源碼、以服務形式使用便無合規風險,但 MinIO 官方也多次強調,由于許可證條款“復雜且微妙”,建議用戶在實際商用部署時務必“依賴自己的法律顧問”來進行詳細的合規性分析與評估。
功能縮減
Console Web UI 功能調整
變更內容:
功能模塊 | 原社區版 | 調整后 |
對象瀏覽器 | ? 完整功能 | ? 保留 |
用戶管理 | ? 完整功能 | ? 移除 |
策略配置 | ? 完整功能 | ? 移除 |
存儲桶管理 | ? 完整功能 | ? 移除 |
站點復制 | ? 完整功能 | ? 移除 |
監控指標 | ? 完整功能 | ? 移除 |
官方解釋:
"維護兩個獨立的用戶界面實現(社區版和企業版)帶來了巨大的工程負擔,并可能引入安全漏洞。"
Docker 鏡像分發策略變更
時間線:2025年10月
變更內容:MinIO 停止在 Docker Hub 發布官方鏡像,最后版本存在 CVE 漏洞。
OwAxkn
短期方案:使用社區維護鏡像
在完成長期技術選型之前,可以考慮使用社區成員維護的 Docker 鏡像作為過渡方案。
社區鏡像源(beck8 維護):
# Docker Hub
docker pull beck8/minio:RELEASE.2025-10-15T17-29-55Z支持的平臺架構:
? linux/amd64 - x86_64 服務器
? linux/arm64 - ARM64 服務器(如 AWS Graviton)
? linux/ppc64le - IBM Power 架構
其他替代方案
JuiceFS 是一款面向云原生設計的高性能分布式文件系統,在 Apache 2.0 開源協議下發布,具備完備的 POSIX 兼容性。通過 JuiceFS,你可以將幾乎所有對象存儲(包括 Amazon S3、阿里云 OSS、騰訊云 COS、MinIO 等)掛載到本地,把對象存儲變成可無限擴展的本地磁盤,并支持跨平臺、跨地域多主機間的讀寫協作。
JuiceFS 兼容性強、性能優越,是 MinIO 之外值得重點關注的對象存儲文件系統解決方案之一。
sD9IV5
