Tüm Yazılar
2025-01-18Hein A. Cabouly

Açık Kaynak Lisans Krizi: MinIO, Redis ve HashiCorp'un 2026 Sürdürülebilirlik Etkileri

DevOpsOpen SourceLicensingCloudKubernetesAWS
A

Open Source Crisis

MinIO, Redis ve HashiCorp gibi büyük projelerin lisans modellerini değiştirmesi, açık kaynak dünyasında dengeleri altüst etti. Şimdi sırada sizin bağımlılıklarınız olabilir. Eylül 2026'da yürürlüğe girecek uyumluluk kuralları, teknoloji yığınlarınızı doğrudan etkileyecek.

Kasım 2025'te, binlerce prodüksiyon sistemine güç veren S3 uyumlu depolama sunucusu MinIO, sessizce bakım moduna girdi. Yeni özellik yok, topluluk katkısı yok. Mesaj açıktı: Ya MinIO Enterprise'a geçin ya da başınızın çaresine bakın.

Bu olay münferit değil. 2023'ten beri hızlanan bir modelin son halkası ve eğer 2026'da altyapı yönetiyorsanız, hazır olsanız da olmasanız da bu kriz kapınızda.

Açık Kaynak Kahramanlığından Ticari Tekele

Sürece bakalım. 2023'te HashiCorp, Terraform'u Mozilla Kamu Lisansı'ndan Business Source License'a (BSL) taşıyarak, açık kaynak statüsünü fiilen sonlandırdı. Topluluk projeyi OpenTofu olarak çatallasa da (fork), hasar verilmişti.

2024'te Redis, lisansını BSD'den SSPL ve SSALv2'ye değiştirdi. Ticari olmayan sürümler gri bir alana itildi. Ve 2025'te MinIO aynı yolu izledi.

Bu bir tesadüf değil. Bu bir iş modeli ve ne yazık ki çalışıyor.

Bu Modeli Besleyen Ekonomi

Senaryo şu: Mükemmel bir açık kaynak aracı geliştirirsiniz. DevOps ekipleri bunu benimser çünkü ücretsiz ve kalitelidir. Kullanıcı tabanınız büyür. Ancak kullanıcıların %95'i size asla ödeme yapmaz. Geriye kalan %5, yani kurumsal şirketler, bütçeleri uygunsa ödeme yapar.

Ancak 96.000 dolarlık kurumsal lisanslar, AWS üzerinde aylık 5.000 dolar harcayan bir startup için mantıklı değildir. Satıcılar, 10.000 dolarlık orta seviye paketler sunarak kurumsal satışlarını baltalamak istemezler. Sonuç: Ya ücretsiz ve desteksiz kalırsınız ya da ödeyemeyeceğiniz kadar pahalı bir lisansla karşılaşırsınız.

Maintenance Mode Graph

Bağımlılıklarınız Bakım Moduna Girdiğinde Ne Olur?

Teknik risk açıktır: Güvenlik yamaları durur veya gecikir. Ancak 2026'da daha az belirgin bir risk ortaya çıkıyor: Uyumluluk.

Eylül 2026'da yürürlüğe girecek Avrupa Birliği Siber Direnç Yasası (CRA), üreticilerin güvenlik açıklarını 24 saat içinde bildirmesini zorunlu kılıyor. Eğer bakım modundaki bir yazılımı kullanıyorsanız, "vaka bazlı" güvenlik düzeltmeleri sunan bir satıcıya bağımlısınız demektir. Bu durumda, sadece teknik bir riskle değil, yasal cezalarla da karşı karşıya kalırsınız.

Teknoloji Yığınınızı Denetleyin

Şu an package.json veya go.mod dosyanızı açın. Kubernetes kullanıyorsanız, CNCF destekli etcd gibi çok satıcılı projelere güvenebilirsiniz. Ancak tek bir şirketin kontrolündeki projelere dikkat edin.

Gerçek bir vakıf (Apache, CNCF, Linux Foundation) tarafından yönetilen projeler, tek satıcılı projelere göre çok daha dayanıklıdır. Docker ve Jenkins gibi araçların yönetişim modellerini inceleyin. EKS gibi yönetilen hizmetler bir katman koruma sağlasa da, altta yatan teknolojinin lisans durumu kritiktir.

2026 Gerçeği: Şimdi Bütçe Ayırın

  1. Denetleyin: Yığınınızdaki her bağımlılığı tek satıcı kontrolü açısından inceleyin.
  2. Maliyet Hesaplayın: Geçiş maliyetini (migration cost) veya ticari lisans maliyetini şimdiden hesaplayın.
  3. Vakıfları Tercih Edin: Teknik olarak biraz geride olsa bile, vakıf tarafından yönetilen projeleri tercih edin.

Açık kaynak ölmüyor, ancak eski "sonsuza kadar ücretsiz gönüllülük" modeli değişiyor. 2026'da hayatta kalmak için stratejinizi buna göre belirlemelisiniz.