Split View: MinIO 커뮤니티 에디션은 이렇게 끝났다 — 저장소 기록으로 재구성한 타임라인, 그리고 Garage·SeaweedFS·Ceph RGW의 현재
MinIO 커뮤니티 에디션은 이렇게 끝났다 — 저장소 기록으로 재구성한 타임라인, 그리고 Garage·SeaweedFS·Ceph RGW의 현재
- 들어가며 — "기본값"이 읽기 전용이 되기까지
- 타임라인 — 저장소가 스스로 남긴 기록
- 무엇이 바뀌었고, 무엇이 바뀌지 않았나
- 대안들의 실제 상태 — 2026년 7월 기준
- 그래서 지금 MinIO를 쓰고 있다면
- 마치며
- 참고 자료
들어가며 — "기본값"이 읽기 전용이 되기까지
이 블로그의 2026년 5월 분산 스토리지 정리에서 MinIO를 "사실상 S3 프로토콜의 참조 구현"이라 불렀습니다. 온프레미스에서 S3 호환 스토리지가 필요하면 일단 MinIO를 깔고 시작하는 게 기본값이던 시절의 표현입니다. 그 글이 나가고 두 달이 지난 지금, minio/minio 저장소는 아카이브(읽기 전용) 상태입니다. GitHub 배너 문구 그대로 "archived by the owner on Apr 25, 2026"이고, 사흘 전인 2026년 7월 14일에는 mc 클라이언트 저장소까지 아카이브됐습니다.
이 사건은 분노 스레드가 많은 만큼 부정확한 요약도 많습니다. "라이선스를 바꿨다"(안 바꿨습니다), "코드를 비공개로 돌렸다"(아카이브된 채 공개돼 있습니다) 같은 말이 흔히 돌아다닙니다. 그래서 이 글은 여론이 아니라 기록을 따라갑니다 — 주장의 근거는 전부 저장소의 커밋과 릴리스 노트, 레지스트리 메타데이터, 공식 블로그이고, 커뮤니티 반응은 반응으로만 링크합니다. 후반부에서는 실제 대안인 Garage·SeaweedFS·Ceph RGW가 2026년 7월 기준으로 어떤 상태인지, 그리고 지금 MinIO를 굴리고 있다면 선택지가 뭔지 정리합니다.
타임라인 — 저장소가 스스로 남긴 기록
| 시점 | 무슨 일 | 1차 근거 |
|---|---|---|
| 2025-05-24 | 임베디드 콘솔 축소, LDAP/OIDC 로그인 제거 | 릴리스 노트 |
| 2025-09-07 | Docker Hub 마지막 이미지 업데이트 | 레지스트리 태그 기록 |
| 2025-10-15 | 마지막 릴리스 + "소스 코드 전용 배포" 선언 | 릴리스, 커밋 9e49d5e7a6 |
| 2025-10-16 | high 등급 CVE-2025-62506 공개(수정은 위 릴리스에만) | GHSA-jjjj-jwhf-8rgr |
| 2025-12-03 | README에 "유지보수 모드" 선언 | 커밋 27742d4694 |
| 2026-01-06 | README가 AIStor Free/Enterprise 안내로 교체 | 커밋 be7800c813 |
| 2026-02-12 | "THIS REPOSITORY IS NO LONGER MAINTAINED." | 커밋 7aac2a2c5b |
| 2026-03-20 | minio/operator 아카이브 | 저장소 배너 |
| 2026-04-25 | minio/minio 아카이브 | 저장소 배너 |
| 2026-07-14 | minio/mc 아카이브 | 저장소 배너 |
하나씩 짚어 보겠습니다.
2025년 5월 — 콘솔에서 관리 기능이 빠지다
RELEASE.2025-05-24T17-08-30Z 릴리스 노트는 임베디드 UI 콘솔이 deprecated 되어 object-browser 저장소로 옮겨진다고 밝히고, LDAP/OIDC 외부 IdP 로그인 제거에 대해 이렇게 적었습니다 — "these are now available as part of the AiStor Product." 즉 커뮤니티 바이너리의 웹 UI는 관리 콘솔에서 단순 오브젝트 브라우저로 줄었고, 빠진 기능의 행선지는 상용 제품이라고 릴리스 노트가 직접 말한 겁니다. 같은 노트는 유료 고객에게 AiStor로의 업그레이드를 권고합니다.
반응은 예상대로였습니다 — 당시 HN 스레드(176포인트), 그리고 바로 다음 날인 5월 25일에 만들어진 콘솔 UI 포크 OpenMaxIO가 별 1,900여 개를 모았습니다. 다만 이 포크의 마지막 push는 2025년 6월 24일입니다(GitHub API 기준, 2026-07-17 조회). 1년 넘게 멈춰 있고 릴리스도 없습니다. 포크 선언과 포크 유지보수는 다른 일이라는 걸 보여 주는 데이터이기도 합니다. 덧붙이면, 릴리스 노트가 콘솔의 새 행선지라고 안내했던 minio/object-browser 저장소는 오늘 기준 404입니다 — 공개 저장소 목록에서 사라졌습니다.
2025년 9~10월 — 이미지가 멈추고, 마지막 릴리스가 나오다
레지스트리 메타데이터 기준으로 Docker Hub의 minio/minio는 2025년 9월 7일(태그 RELEASE.2025-09-07T16-13-09Z)이 마지막 업데이트입니다. latest 태그도 그날 이후 멈춰 있습니다. 참고로 이 이미지의 누적 pull 수는 Docker Hub API 기준 약 18억 회입니다 — 멈춘 것이 어떤 규모의 배포 채널이었는지 가늠이 됩니다. HN 스레드(733포인트)가 이때의 반응입니다.
2025년 10월 15일자 RELEASE.2025-10-15T17-29-55Z가 이 저장소의 마지막 릴리스가 됐습니다. 같은 날 README 커밋 9e49d5e7a6은 커뮤니티 에디션이 이제 "distributed as source code only"라고 선언했고, 기존 바이너리에 대해서는 "These legacy binaries will not receive updates."라고 못박았습니다. 마지막 릴리스 노트가 안내하는 설치 방법 자체가 새 배포 모델을 요약합니다.
# RELEASE.2025-10-15T17-29-55Z 릴리스 노트가 안내하는 설치 방법
go install -v github.com/minio/minio@RELEASE.2025-10-15T17-29-55Z
# 컨테이너는 이제 직접 빌드
git clone https://github.com/minio/minio
cd minio && git checkout RELEASE.2025-10-15T17-29-55Z
TAG=myregistry.com/minio/minio:RELEASE.2025-10-15T17-29-55Z make docker
CVE-2025-62506 — 배포 중단이 실제로 아파지는 지점
이 마지막 릴리스는 단순한 마무리 릴리스가 아니었습니다. GHSA-jjjj-jwhf-8rgr로 공개된 CVE-2025-62506 — 서비스 계정·STS의 세션 정책 우회를 통한 권한 상승, 심각도 high — 의 수정이 여기에 들어 있습니다. 어드바이저리 기준 취약 범위는 2025-10-15 수정 커밋 이전 전부입니다.
여기서 배포 중단의 실무적 의미가 정확해집니다.
- Docker Hub 공식 이미지는 5주 전(9월 7일)에 멈췄으므로, 이 수정을 담은 공식 공개 이미지는 존재하지 않습니다. quay.io 쪽에도 해당 릴리스 태그는 없습니다(태그 조회 결과 빈 값).
- quay.io에는 2026년 4월까지도 구버전 릴리스의 hotfix 태그가 간간이 올라왔습니다. 그런데 예컨대 2026-04-01에 올라온 hotfix 태그의 커밋 7aa24e772는 공개 저장소에 존재하지 않습니다(GitHub API가 해당 SHA를 찾지 못함). 즉 공개 트리 밖에서 빌드된 이미지이고, 커뮤니티 입장에서는 내용물을 소스로 대조할 방법이 없습니다.
- 결론적으로, 이미지를 pull해서 쓰던 사용자가 이 high 등급 취약점을 패치하는 공식 경로는 "소스에서 직접 빌드"뿐이었습니다.
"바이너리를 안 준다"는 말은 추상적으로 들리지만, "공개된 권한 상승 취약점의 수정이 이미지로는 오지 않는다"는 말은 그렇지 않습니다. 이 사건이 10월의 전환을 체감시킨 실물 사례였습니다.
2025년 12월 ~ 2026년 7월 — 유지보수 모드에서 아카이브 연쇄까지
12월 3일 README 커밋은 프로젝트가 유지보수 모드이며 새 기능·개선·PR을 받지 않고, 치명적 보안 수정만 건별로 검토될 수 있다고 선언했습니다(HN 511포인트). 1월 6일 커밋은 그 자리에 AIStor Free와 AIStor Enterprise 안내를 넣었고, 2월 12일 커밋은 배너를 한 문장으로 정리했습니다 — "THIS REPOSITORY IS NO LONGER MAINTAINED." (HN 500포인트)
그리고 아카이브가 이어졌습니다. Kubernetes용 minio/operator가 2026년 3월 20일, 서버 본체 minio/minio가 4월 25일, CLI minio/mc가 7월 14일. 반면 minio-go·minio-py·minio-js 같은 SDK 저장소들은 이 글을 쓰는 시점에도 활발히 갱신됩니다(minio-js는 어제도 push) — AIStor 고객도 S3 클라이언트 SDK는 필요하니, 어디가 제품 경계인지 아카이브 패턴이 그대로 보여 주는 셈입니다.
무엇이 바뀌었고, 무엇이 바뀌지 않았나
이 사태를 "라이선스 러그풀"로 기억하면 부정확합니다. 기록 기준으로 정리하면 이렇습니다.
바뀌지 않은 것 — 라이선스. minio/minio는 처음부터 끝까지 AGPLv3입니다. 저장소 메타데이터와 README, LICENSE 파일 모두 그대로입니다. BSL이나 SSPL로의 전환 같은 건 없었습니다. 아카이브된 코드는 지금도 AGPLv3로 누구나 가져갈 수 있습니다.
바뀐 것 — 네 가지, 순서대로. (1) 기능: 커뮤니티 바이너리에서 관리 콘솔과 외부 IdP 로그인이 빠졌습니다(2025-05). (2) 배포: 공식 바이너리와 컨테이너 이미지 제공이 끝났습니다(2025-09~10). (3) 유지보수: PR·이슈를 받지 않게 됐습니다(2025-12). (4) 저장소 자체: 읽기 전용이 됐습니다(2026-03~07, 연쇄 아카이브).
대체재로 제시된 것 — AIStor Free. MinIO의 구독 티어 공지에 따르면 AIStor Free는 단일 노드 전용이고, 노드 하나에 담는 용량 제한은 없으며, 무료지만 재배포·재판매를 제한하는 라이선스입니다(다운로드에 무료 라이선스 키 필요 — 아카이브된 README의 안내 기준). 멀티 노드 분산 구성은 Enterprise Lite부터이고, 공지 기준 400 TiB를 넘으면 Enterprise로 자동 전환됩니다. 요컨대 AIStor Free는 "무료 프로프라이어터리 단일 노드 제품"입니다. 오픈소스 MinIO의 후속이 아니라 다른 물건이고, 그렇게 평가해야 합니다.
일어나지 않은 것 — 성공한 서버 포크. HashiCorp Vault의 라이선스 전환 때는 재단 산하의 OpenBao가 갈라져 나와 자생했습니다. MinIO에는 이 글을 쓰는 시점까지 그런 포크가 보이지 않습니다. 콘솔 UI 포크(OpenMaxIO)는 위에서 본 대로 멈췄고, 서버 본체를 이어받아 탄력을 얻은 포크는 확인하지 못했습니다. 커뮤니티 논평(예: MinIO Is Dead, Long Live MinIO)도 대체로 포크보다 대안 이주를 권합니다. AGPL 단일 벤더 CLA 구조에서 재단 없이 대형 Go 코드베이스를 떠안을 주체가 나오지 않았다는 것 — 이게 이번 사태의 조용한 교훈 중 하나입니다.
대안들의 실제 상태 — 2026년 7월 기준
S3 API가 사실상의 이식성 계층이라는 점은 이런 순간에 빛납니다. 애플리케이션 코드는 대부분 엔드포인트와 자격 증명만 바꾸면 됩니다. 문제는 서버 쪽 운영 특성이 셋 다 MinIO와 상당히 다르다는 것입니다.
Garage — 가장 가벼운 자리, 이제 이주까지 노린다
Garage는 프랑스 Deuxfleurs가 개발하는 Rust 기반 경량 지리 분산 S3 스토리지로, 라이선스는 AGPLv3입니다(저장소 LICENSE 확인). 릴리스 기록(자체 Gitea 기준)을 보면 v2.0.0이 2025-06-14 — 관리 API 전면 개편(v2 엔드포인트), replication_mode를 replication_factor와 consistency_mode로 분리하는 파괴적 변경 — 이고, v2.2.0과 v1 유지 라인의 v1.3.1이 2026-01-24에 나란히 나왔으며, 최신 v2.3.0은 2026-04-16입니다.
v2.3.0의 방향이 의미심장합니다. garage server --single-node로 단일 노드 클러스터를 즉시 띄우는 옵션, 환경 변수로 기본 액세스 키·버킷을 만들어 주는 부트스트랩이 들어왔고, 릴리스 노트 표현으로는 다른 S3 스토리지 공급자로부터의 전환을 쉽게 하려고 가져온(imported) 액세스 키의 요건을 완화했습니다. "빈 폴더에 minio server 하나"로 시작하던 바로 그 사용자층을 겨냥한 변화입니다.
한계도 설계 문서에 명시돼 있습니다. 공식 goals 문서는 이레이저 코딩을 하지 않고 복제(duplication)만 쓴다고 밝힙니다 — 3벌 복제면 저장 오버헤드가 3배라는 뜻입니다. S3 API 이상의 기능을 추가할 계획이 없다는 것도 명시적 non-goal입니다. 프로젝트 규모도 감안해야 합니다 — 자체 사이트의 펀딩 내역 기준 2025년 재원은 NLnet/NGI0 지원 1.5 FTE 규모입니다. 홈랩, 소규모 조직, 지리 분산 소용량에는 훌륭한 과녁이고, 고밀도 대용량 단일 DC 스토리지에는 설계부터 맞지 않습니다.
SeaweedFS — 가장 활발하고, 가장 한 사람에게 기대는
SeaweedFS는 Apache-2.0 라이선스(별 약 3.3만 개)이고, 릴리스 흐름이 셋 중 가장 빠릅니다 — 4.00이 2025-11-03, 이후 주 단위로 이어져 이 글 기준 최신은 4.39(2026-07-10)입니다. 4.00 릴리스 노트에도 S3 IAM 설정 파일 지원 등 S3 표면 개선이 줄줄이 들어 있습니다.
아키텍처는 MinIO식 단일 바이너리가 아닙니다. README 기준으로 중앙 마스터는 볼륨 배치만 관리하고 메타데이터는 볼륨 서버로 분산하는 blob 스토어가 핵심이고, 그 위에 디렉터리·POSIX 속성을 얹는 별도 무상태 서버 Filer가 있으며, S3 API는 그 위의 게이트웨이입니다. 이레이저 코딩도 구현돼 있습니다(README 명시). 즉 소파일 대량 워크로드에 강점이 있는 대신, 운영자가 이해해야 할 데몬 종류가 MinIO보다 많습니다.
정직하게 짚을 리스크는 집중도입니다. GitHub contributors API 기준 창시자 chrislusf의 커밋이 9,968개로, 봇을 제외한 2위(530개)와 자릿수가 다릅니다. 프로젝트가 죽어 간다는 뜻이 아니라 — 오히려 지금 가장 활발합니다 — 버스 팩터에 대한 우려가 정당하다는 뜻입니다. MinIO에서 단일 벤더 리스크를 경험하고 옮겨 가는 입장이라면 따져 볼 대목입니다.
Ceph RGW — 무겁지만, 거버넌스가 다른 선택지
Ceph의 RADOS Gateway(RGW)는 S3 호환 스토리지 중 가장 오래 검증된 축입니다. 현재 안정 릴리스는 Tentacle(v20.2.0, 2025-11-18 GA)이고 이 글 기준 20.2.2까지 나왔으며, Squid(19.2.5)·Reef(18.2.8)가 병행 지원 중입니다. Tentacle 발표문은 대시보드 개선 항목에서 RGW 멀티사이트 자동화, 계층화(tiering), 수명주기, 알림, 세분화된 복제를 나열합니다 — RGW 운영면이 꾸준히 다듬어지고 있다는 신호입니다.
트레이드오프는 잘 알려진 그대로입니다. RGW만 필요해도 Ceph 클러스터(mon·mgr·OSD)가 통째로 따라옵니다. cephadm이 설치 부담을 많이 낮췄지만, 여전히 "스토리지 팀이 있는 조직"의 도구이지 홈랩 도구가 아닙니다. 대신 이번 사태와 정확히 대비되는 장점이 있습니다 — Ceph은 Linux Foundation 산하 Ceph Foundation이 거버넌스를 맡는 다중 벤더 프로젝트라, 한 회사의 사업 전환으로 배포가 멈추는 형태의 리스크가 구조적으로 낮습니다.
그 밖에
Rust로 S3 스토리지를 재작성하는 RustFS 같은 신생 주자도 있습니다(Apache-2.0, 별 약 3만 개, 2026-07-17 기준 당일 push 확인). 다만 데이터 내구성은 별 수가 아니라 세월이 증명하는 속성입니다 — 프로덕션 데이터를 옮기기 전에 트랙 레코드를 각자 검증하시기 바랍니다.
그래서 지금 MinIO를 쓰고 있다면
선택지는 넷입니다. 넷 다 비용이 있고, "아무것도 안 하기"에도 비용이 있습니다.
- 멈춘 바이너리로 버티기. 2025-10-15 이후 패치가 없는 소프트웨어를 굴리는 결정입니다. CVE-2025-62506이 보여 줬듯 다음 취약점의 수정은 이미지로 오지 않습니다. 외부 노출이 전혀 없는 격리 환경에서, 기한을 정해 두고서만 정당화됩니다.
- 소스 빌드로 유지하기. 아카이브 저장소는 PR을 받지 않으므로, 이 경로는 사실상 자가 포크입니다. Go 툴체인과 빌드 파이프라인, 그리고 앞으로 나올 취약점의 백포트 판단까지 직접 짊어집니다.
- AIStor Free로 넘어가기. 단일 노드로 충분하고 프로프라이어터리 라이선스 키가 허용되는 환경이라면, 솔직히 마찰이 가장 적은 경로입니다. 분산 HA가 필요해지는 순간 유료 구간(Enterprise Lite, 400 TiB 경계)입니다.
- 이주하기. 애플리케이션 쪽은 S3 호환 덕에 대체로 엔드포인트 교체 수준이지만, 데이터 이동과 IAM 정책·수명주기 규칙의 번역은 별도 작업입니다(mc도 아카이브됐으니 이동은 rclone 같은 중립 도구가 무난합니다). 방향은 위에서 본 대로 — 홈랩·소규모·지리 분산은 Garage, 소파일 대량·빠른 릴리스 수용 가능은 SeaweedFS, 조직 규모·장기 거버넌스 중시는 Ceph RGW가 기본 매핑입니다.
Kubernetes에서 minio/operator에 얹혀 있던 배포라면 그 축도 함께 계획해야 합니다 — operator 저장소는 2026년 3월 20일자로 아카이브됐습니다.
마지막으로 일반화 하나. 이번 사태의 교훈은 "MinIO가 나빴다"가 아니라, 단일 벤더가 CLA를 쥔 오픈소스 인프라는 그 벤더의 사업 전환이 곧 프로젝트의 운명이라는 오래된 사실의 재확인입니다. 스토리지처럼 데이터가 물리적으로 눌러앉는 계층에서는 이 리스크가 이주 비용으로 직결됩니다. 다음 의존성을 고를 때는 기능 표와 함께 거버넌스 구조 — 재단 소유인지, 컨트리뷰터가 분산돼 있는지, 포크가 실제로 가능할 규모인지 — 를 같이 보시기 바랍니다.
마치며
기록으로 확인된 것만 다시 요약합니다. MinIO 커뮤니티 에디션은 2025년 5월 기능 축소, 9~10월 배포 중단(마지막 이미지 9월 7일, 마지막 릴리스 10월 15일), 12월 유지보수 모드, 2026년 3~7월 저장소 아카이브 연쇄의 순서로 끝났습니다. 라이선스는 끝까지 AGPLv3였고, high 등급 CVE의 수정이 공식 공개 이미지로 배포되지 않는 형태로 전환 비용이 사용자에게 넘어왔습니다. 공식 후속인 AIStor Free는 무료지만 단일 노드 전용 프로프라이어터리 제품입니다.
대안은 성숙도와 성격이 제각각입니다 — Garage는 작고 명확한 설계(복제 전용, S3 이상 안 함)로 소규모·지리 분산을, SeaweedFS는 빠른 개발 속도와 소파일 강점을(대신 창시자 집중), Ceph RGW는 운영 무게를 대가로 재단 거버넌스와 검증된 수명을 제공합니다. 완전한 후계자는 없습니다. 그게 이 정리의 정직한 결론이고, 그래서 선택은 벤치마크가 아니라 당신의 규모·팀·리스크 허용치가 정합니다.
참고 자료
- minio/minio 저장소(아카이브됨, 2026-04-25)
- RELEASE.2025-05-24T17-08-30Z 릴리스 노트 — 콘솔 축소·IdP 제거
- RELEASE.2025-10-15T17-29-55Z — 마지막 릴리스
- 커밋 9e49d5e7a6 — 소스 코드 전용 배포 선언(2025-10-15)
- 커밋 27742d4694 — 유지보수 모드(2025-12-03)
- 커밋 7aac2a2c5b — "no longer maintained"(2026-02-12)
- GHSA-jjjj-jwhf-8rgr / CVE-2025-62506 — 세션 정책 우회 권한 상승(high)
- Docker Hub minio/minio 태그 기록 — 2025-09-07 이후 정지
- MinIO AIStor 구독 티어 공지 — Free / Enterprise Lite / Enterprise
- OpenMaxIO — 콘솔 UI 포크(2025-06-24 이후 정지)
- Garage 릴리스 목록(v2.3.0, 2026-04-16)
- Garage 설계 목표 — 복제 전용, S3 이상 안 함
- SeaweedFS 릴리스 목록(4.39, 2026-07-10)
- Ceph v20.2.0 Tentacle 릴리스 발표(2025-11-18)
- Ceph 활성 릴리스 현황
- MinIO Is Dead, Long Live MinIO — 커뮤니티 논평
- HN 반응 스레드: 2025-05 콘솔 · 2025-10 이미지 중단 · 2025-12 유지보수 모드 · 2026-02 배너 교체
How MinIO Community Edition Ended — A Timeline Reconstructed from the Repository, and Where Garage, SeaweedFS, and Ceph RGW Stand Now
- Introduction — How a "Default Choice" Went Read-Only
- The Timeline — What the Repository Recorded About Itself
- What Changed, and What Didn't
- Where the Alternatives Actually Stand — As of July 2026
- So If You're Running MinIO Right Now
- Closing
- References
Introduction — How a "Default Choice" Went Read-Only
This blog's May 2026 distributed storage roundup called MinIO "the de facto reference implementation of the S3 protocol." That was back when the default move for on-prem S3-compatible storage was simply to install MinIO and go. Two months after that post, the minio/minio repository is archived — read-only. The GitHub banner says exactly what it says: "archived by the owner on Apr 25, 2026," and three days before this writing, on July 14, 2026, the mc client repository was archived too.
This event has drawn as many angry threads as it has inaccurate summaries. Claims like "they changed the license" (they didn't) or "they took the code private" (it's archived but still public) circulate freely. So this post follows the record, not the sentiment — every claim here is backed by the repository's own commits, release notes, registry metadata, and the official blog, and community reactions are linked only as reactions. The back half covers the actual state of the real alternatives — Garage, SeaweedFS, and Ceph RGW — as of July 2026, and what your options are if you're running MinIO right now.
The Timeline — What the Repository Recorded About Itself
| Date | What happened | Primary source |
|---|---|---|
| 2025-05-24 | Embedded console cut down, LDAP/OIDC login removed | Release notes |
| 2025-09-07 | Last Docker Hub image update | Registry tag history |
| 2025-10-15 | Last release + "source-code-only distribution" announcement | Release, Commit 9e49d5e7a6 |
| 2025-10-16 | High-severity CVE-2025-62506 disclosed (fix shipped only in the release above) | GHSA-jjjj-jwhf-8rgr |
| 2025-12-03 | README declares "maintenance mode" | Commit 27742d4694 |
| 2026-01-06 | README replaced with AIStor Free/Enterprise guidance | Commit be7800c813 |
| 2026-02-12 | "THIS REPOSITORY IS NO LONGER MAINTAINED." | Commit 7aac2a2c5b |
| 2026-03-20 | minio/operator archived | Repository banner |
| 2026-04-25 | minio/minio archived | Repository banner |
| 2026-07-14 | minio/mc archived | Repository banner |
Let's go through these one at a time.
May 2025 — Management Features Leave the Console
The RELEASE.2025-05-24T17-08-30Z release notes state that the embedded UI console is deprecated and moving to the object-browser repository, and on removing LDAP/OIDC external IdP login they wrote — "these are now available as part of the AiStor Product." In other words, the community binary's web UI shrank from a management console to a plain object browser, and the release notes themselves said where the removed features went: the commercial product. The same notes recommend paying customers upgrade to AiStor.
The reaction was predictable — the HN thread from that time (176 points), and a console UI fork, OpenMaxIO, created the very next day, May 25, which picked up roughly 1,900 stars. But that fork's last push was June 24, 2025 (per the GitHub API, checked 2026-07-17). It's been stalled for over a year with no releases. That's data showing that announcing a fork and maintaining one are different things. One more note: the minio/object-browser repository the release notes pointed to as the console's new home returns a 404 as of today — it's gone from the list of public repositories.
September–October 2025 — Images Stop, the Last Release Lands
By registry metadata, minio/minio on Docker Hub last updated on September 7, 2025 (tag RELEASE.2025-09-07T16-13-09Z). The latest tag has been frozen since that day too. For scale: this image's cumulative pull count is roughly 1.8 billion, per the Docker Hub API — which gives some sense of the size of the distribution channel that just stopped. The HN thread (733 points) captures the reaction at the time.
RELEASE.2025-10-15T17-29-55Z, dated October 15, 2025, became this repository's last release. That same day, README commit 9e49d5e7a6 declared that the community edition was now "distributed as source code only," and stated flatly of the existing binaries: "These legacy binaries will not receive updates." The installation instructions the final release notes give are themselves a summary of the new distribution model.
# The install method given by the RELEASE.2025-10-15T17-29-55Z release notes
go install -v github.com/minio/minio@RELEASE.2025-10-15T17-29-55Z
# Containers are now built yourself
git clone https://github.com/minio/minio
cd minio && git checkout RELEASE.2025-10-15T17-29-55Z
TAG=myregistry.com/minio/minio:RELEASE.2025-10-15T17-29-55Z make docker
CVE-2025-62506 — Where Ending Distribution Actually Hurts
This last release wasn't just a wrap-up release. It contains the fix for CVE-2025-62506, disclosed as GHSA-jjjj-jwhf-8rgr — privilege escalation via a session-policy bypass in service accounts and STS, severity high. Per the advisory, everything before the 2025-10-15 fix commit is in the vulnerable range.
This is where the practical meaning of ending distribution becomes exact.
- The official Docker Hub image stopped five weeks earlier (September 7), so no official public image containing this fix exists. quay.io has no tag for this release either (the tag lookup comes back empty).
- quay.io did keep getting occasional hotfix tags for older releases through as late as April 2026. But, for instance, the hotfix tag pushed on 2026-04-01 references commit 7aa24e772, which doesn't exist in the public repository (the GitHub API can't find that SHA). That means it's an image built outside the public tree, and the community has no way to check its contents against source.
- So, for a user who was pulling images, the only official path to patch this high-severity vulnerability was "build from source yourself."
"They stopped shipping binaries" sounds abstract. "The fix for a disclosed privilege-escalation vulnerability never reaches you as an image" does not. This is the concrete case that made October's shift tangible.
December 2025 – July 2026 — From Maintenance Mode to the Archive Chain
On December 3, a README commit declared the project to be in maintenance mode — no new features, no improvements, no PRs accepted, with only critical security fixes possibly reviewed case by case (HN, 511 points). On January 6, a commit replaced that space with AIStor Free and AIStor Enterprise guidance, and on February 12, a commit condensed the banner into one sentence — "THIS REPOSITORY IS NO LONGER MAINTAINED." (HN, 500 points)
Then the archiving followed. The Kubernetes operator, minio/operator, on March 20, 2026; the server itself, minio/minio, on April 25; the CLI, minio/mc, on July 14. By contrast, the SDK repositories — minio-go, minio-py, minio-js — are still actively updated as of this writing (minio-js pushed as recently as yesterday). AIStor customers need S3 client SDKs too, so the archive pattern itself traces out exactly where the product boundary sits.
What Changed, and What Didn't
Remembering this as a "license rug pull" is inaccurate. Here's what the record actually shows.
What didn't change — the license. minio/minio was AGPLv3 from start to finish. The repository metadata, README, and LICENSE file are all unchanged. There was no switch to BSL or SSPL. The archived code is still there for anyone to take under AGPLv3 today.
What changed — four things, in order. (1) Features: the management console and external IdP login left the community binary (2025-05). (2) Distribution: official binaries and container images stopped (2025-09 to 10). (3) Maintenance: PRs and issues stopped being accepted (2025-12). (4) The repository itself: it went read-only (2026-03 to 07, the archive chain).
What's offered as the replacement — AIStor Free. Per MinIO's subscription-tier announcement, AIStor Free is single-node only, has no capacity cap on that one node, and is free but under a license that restricts redistribution and resale (a free license key is required to download, per the archived README's instructions). Multi-node distributed setups start at Enterprise Lite, and per the announcement, crossing 400 TiB auto-converts you to Enterprise. In short, AIStor Free is a "free, proprietary, single-node product." It isn't a successor to open-source MinIO — it's a different thing, and should be judged as one.
What didn't happen — a successful server fork. When HashiCorp Vault switched licenses, OpenBao branched off under a foundation and has sustained itself. No such fork has appeared for MinIO as of this writing. The console UI fork, OpenMaxIO, stalled as shown above, and no fork that picked up the server itself and gained traction has been confirmed. Community commentary (e.g., MinIO Is Dead, Long Live MinIO) mostly recommends migrating to an alternative rather than forking. That no party stepped up to carry a large Go codebase without a foundation, under a single-vendor AGPL CLA structure — that's one of the quiet lessons of this episode.
Where the Alternatives Actually Stand — As of July 2026
The S3 API being the de facto portability layer is exactly what shines in a moment like this. Most application code just needs its endpoint and credentials swapped. The catch is that all three server-side operational profiles differ quite a bit from MinIO's.
Garage — Still the Lightest Slot, and Now Courting Migrants
Garage is a lightweight, geo-distributed S3 storage system in Rust from France's Deuxfleurs, licensed AGPLv3 (confirmed in the repo's LICENSE file). Looking at the release history (their own Gitea instance): v2.0.0 landed 2025-06-14 — a full overhaul of the admin API (v2 endpoints), a breaking change that split replication_mode into replication_factor and consistency_mode — then v2.2.0 and the maintained v1 line's v1.3.1 shipped side by side on 2026-01-24, and the latest, v2.3.0, is from 2026-04-16.
v2.3.0's direction is telling. It added a garage server --single-node option to spin up a single-node cluster instantly, plus environment-variable bootstrapping for a default access key and bucket, and — in the release notes' own words — relaxed the requirements for imported access keys specifically to ease switching over from other S3 storage providers. It's a change aimed squarely at the users who used to start with "one minio server in an empty folder."
The limits are also spelled out in the design docs. The official goals document states it does not do erasure coding, only duplication — meaning triple replication means 3x storage overhead. Not adding features beyond the S3 API is an explicit non-goal too. The project's scale matters here as well — per its own site's funding page, 2025 funding was on the order of 1.5 FTE backed by NLnet/NGI0. It's a great fit for homelabs, small organizations, and small-scale geo-distribution, and a poor fit by design for dense, high-capacity single-DC storage.
SeaweedFS — the Most Active, and the Most Dependent on One Person
SeaweedFS is Apache-2.0 licensed (roughly 33,000 stars), and has the fastest release cadence of the three — 4.00 shipped 2025-11-03, then continued weekly, with the latest as of this writing at 4.39 (2026-07-10). The 4.00 release notes alone list a string of S3-surface improvements, including S3 IAM config file support.
The architecture isn't a single MinIO-style binary. Per the README, the core is a blob store where a central master handles only volume placement while metadata is distributed across volume servers; on top of that sits a separate stateless server, Filer, which adds directories and POSIX attributes; and the S3 API is a gateway on top of that. Erasure coding is implemented too (stated in the README). So it has real strength for high-volume small-file workloads, at the cost of more kinds of daemons for an operator to understand than MinIO has.
The risk worth being honest about is concentration. Per the GitHub contributors API, founder chrislusf's commit count is 9,968 — an order of magnitude apart from the second place among non-bot contributors, at 530. That doesn't mean the project is dying — it's currently the most active of the three — it means the bus-factor concern is legitimate. Something worth weighing if you're moving off MinIO specifically because you've felt single-vendor risk before.
Ceph RGW — Heavy, But a Different Governance Story
Ceph's RADOS Gateway (RGW) is among the longest-proven of the S3-compatible storage options. The current stable release is Tentacle (v20.2.0, GA 2025-11-18), which has reached 20.2.2 as of this writing, with Squid (19.2.5) and Reef (18.2.8) supported in parallel. The Tentacle announcement lists, among its dashboard improvements, RGW multisite automation, tiering, lifecycle, notifications, and fine-grained replication — a sign that the operational side of RGW keeps getting polished.
The tradeoff is exactly the well-known one. Even if all you need is RGW, the whole Ceph cluster (mon, mgr, OSD) comes along with it. cephadm has lowered the installation burden a lot, but it's still a tool for "an organization with a storage team," not a homelab tool. In exchange, it has an advantage that maps directly onto what just happened here — Ceph is a multi-vendor project governed by the Ceph Foundation under the Linux Foundation, which structurally lowers the risk of distribution stopping because one company pivoted its business.
Also Worth Noting
There are newer entrants too, like RustFS, which is rewriting S3 storage in Rust (Apache-2.0, roughly 30,000 stars, a same-day push confirmed as of 2026-07-17). But data durability is a property proven by time, not by star count — verify the track record yourself before moving production data onto anything.
So If You're Running MinIO Right Now
You have four options. All four have a cost, and so does "doing nothing."
- Ride out the frozen binary. This means deciding to run software that hasn't been patched since 2025-10-15. As CVE-2025-62506 showed, the fix for the next vulnerability won't reach you as an image. Justifiable only in a fully isolated environment with no external exposure, and only with an expiration date set.
- Maintain your own source build. Since the archived repository doesn't accept PRs, this path is, in effect, a private fork of your own. You take on the Go toolchain and build pipeline, and the judgment calls on backporting fixes for future vulnerabilities, yourself.
- Move to AIStor Free. If a single node is enough and a proprietary license key is acceptable in your environment, this is honestly the lowest-friction path. The moment you need distributed HA, you're in paid territory (Enterprise Lite, with the 400 TiB boundary).
- Migrate. On the application side, S3 compatibility usually means it's just an endpoint swap, but moving the data itself and translating IAM policies and lifecycle rules is separate work (mc is archived too, so a neutral tool like rclone is the safer bet for the data move). The default mapping is as covered above — Garage for homelab, small-scale, geo-distributed; SeaweedFS if you have heavy small-file volume and can tolerate a fast release cadence; Ceph RGW when organizational scale and long-term governance matter most.
If your Kubernetes deployment was sitting on top of minio/operator, plan for that axis too — the operator repository was archived on March 20, 2026.
One generalization to close on. The lesson here isn't "MinIO was bad" — it's a reconfirmation of an old fact: for open-source infrastructure where a single vendor holds the CLA, that vendor's business pivot is the project's fate. In a layer like storage, where data physically settles in, that risk translates directly into migration cost. When you pick your next dependency, look at the governance structure alongside the feature table — is it foundation-owned, are contributors distributed, is it actually at a scale where a fork is realistic.
Closing
To sum up only what the record confirms. MinIO Community Edition ended in this order: feature reduction in May 2025, distribution stopping in September–October (last image September 7, last release October 15), maintenance mode in December, and the repository archive chain from March through July 2026. The license stayed AGPLv3 to the end, and the transition cost was pushed onto users in the concrete form of a high-severity CVE's fix never reaching an official public image. The official successor, AIStor Free, is free but a single-node-only proprietary product.
The alternatives differ in maturity and character. Garage offers small-scale, geo-distributed fit through a small, clear design (replication-only, nothing beyond S3); SeaweedFS offers fast development velocity and small-file strength (at the cost of founder concentration); Ceph RGW offers foundation governance and proven longevity, at the price of operational weight. None of them is a full successor. That's the honest conclusion of this rundown — so the choice is decided not by a benchmark, but by your scale, your team, and your risk tolerance.
References
- minio/minio repository (archived, 2026-04-25)
- RELEASE.2025-05-24T17-08-30Z release notes — console reduction, IdP removal
- RELEASE.2025-10-15T17-29-55Z — last release
- Commit 9e49d5e7a6 — source-code-only distribution announcement (2025-10-15)
- Commit 27742d4694 — maintenance mode (2025-12-03)
- Commit 7aac2a2c5b — "no longer maintained" (2026-02-12)
- GHSA-jjjj-jwhf-8rgr / CVE-2025-62506 — session-policy-bypass privilege escalation (high)
- Docker Hub minio/minio tag history — frozen since 2025-09-07
- MinIO AIStor subscription tier announcement — Free / Enterprise Lite / Enterprise
- OpenMaxIO — console UI fork (stalled since 2025-06-24)
- Garage release list (v2.3.0, 2026-04-16)
- Garage design goals — replication-only, nothing beyond S3
- SeaweedFS release list (4.39, 2026-07-10)
- Ceph v20.2.0 Tentacle release announcement (2025-11-18)
- Ceph active release status
- MinIO Is Dead, Long Live MinIO — community commentary
- HN reaction threads: 2025-05 console · 2025-10 image freeze · 2025-12 maintenance mode · 2026-02 banner replacement