يغادر الأعضاء الأساسيون مشروع Nginx بسبب مخاوف أمنية.

بحسب موقع Arstechnica ، غادر ماكسيم دونين، أحد المطورين الأساسيين، مشروع Nginx لأنه شعر بأنه لم يعد مشروعًا مفتوح المصدر ومجانيًا يخدم المجتمع. أسس دونين مشروع freenginx، وأكد أنه سيُدار من قِبل المطورين، وليس من قِبل الشركات.

يُعدّ دونين من أوائل المبرمجين وأكثرهم نشاطًا في مشروع Nginx مفتوح المصدر، وكان من أوائل موظفي شركة Nginx Inc.، التي تأسست عام 2011 لتقديم الدعم التجاري لبرامج خوادم الويب. ووفقًا لموقع W3techs ، يُستخدم Nginx حاليًا في حوالي ثلث خوادم الويب في العالم ، يليه Apache.

استحوذت شركة F5 (ومقرها سياتل، الولايات المتحدة الأمريكية) على شركة Nginx Inc. في عام 2019. إلا أنه في نهاية العام نفسه، احتُجز اثنان من المديرين التنفيذيين في Nginx، وهما مكسيم كونوفالوف وإيغور سيسويف، واستُجوبا في منزليهما من قبل عملاء روس. ادّعت شركة الإنترنت رامبلر ملكيتها لشفرة المصدر الخاصة بـ Nginx، مشيرةً إلى أنها طُوّرت خلال فترة عمل سيسويف فيها (كما عمل دونين أيضًا). ورغم أنه من غير المرجح توجيه أي تهم جنائية، إلا أن تدخل شركة روسية في جزء شائع مفتوح المصدر من بنية الإنترنت التحتية أثار بعض المخاوف.

غادر سيسويف شركة F5 ومشروع Nginx في أوائل عام 2022. وفي وقت لاحق من ذلك العام، وبسبب العملية العسكرية الروسية في أوكرانيا، أوقفت F5 جميع عملياتها في ذلك البلد. أنشأ بعض مطوري Nginx منصة Angie لدعم مستخدمي Nginx في روسيا. كما توقف دونين عن العمل لدى F5 في ذلك الوقت، لكنه استمر في دوره كمتطوع في مشروع Nginx.

Thành viên cốt lõi rời dự án Nginx vì quan điểm bảo mật- Ảnh 1. — يُعد Nginx حاليًا برنامج خادم الويب مفتوح المصدر الذي يمتلك أكبر حصة سوقية.

ذكر دونين أن الإدارة الجديدة غير التقنية في شركة F5 افترضت مؤخرًا أنها على دراية تامة بكيفية إدارة مشاريع المصادر المفتوحة. وعلى وجه الخصوص، قررت هذه المجموعة التدخل في سياسات الأمان التي كان يستخدمها Nginx لسنوات، متجاوزةً حتى المطورين. وخلص إلى أن هذا يعني أنهم لم يعودوا قادرين على التحكم في التغييرات التي تُجرى على Nginx، مما دفعه إلى الاستقالة.

تشير التعليقات المنشورة على موقع "ذا هاكر نيوز" ، بما فيها تعليق من موظف مزعوم في شركة F5، إلى أن دونين اعترض على نسبة ثغرات CVE المنشورة إلى بروتوكول QUIC. مع أن بروتوكول QUIC غير مُفعّل في الإعدادات الافتراضية لـ Nginx، إلا أنه، وفقًا لوثائق Nginx، مُضمّن في الإصدار الرئيسي من التطبيق، ويحتوي على أحدث الميزات وإصلاحات الأخطاء، ويتم تحديثه باستمرار.

في حديثه مع موقع "ذا هاكر نيوز" ، صرّح دونين بأن فريق F5 تجاهل سياسة المشروع وإجماع المطورين العام دون أي نقاش. ورغم أن الإجراء المحدد لم يكن سيئاً بالضرورة، إلا أن النهج العام كان إشكالياً.

بحسب موقع Astechnica ، أعربت شركة F5 عن أسفها لرحيل دونين، موضحةً أن نجاح مشاريع المصادر المفتوحة مثل Nginx يتطلب مجتمعًا واسعًا ومتنوعًا من المتعاونين، بالإضافة إلى تطبيق معايير صناعية صارمة لتحديد الثغرات الأمنية وتقييمها. وتؤمن الشركة بأن هذا هو النهج الأمثل لتطوير برمجيات عالية الأمان للعملاء والمجتمع.

رابط المصدر