Kernmitglieder verlassen das Nginx-Projekt aufgrund von Sicherheitsbedenken.

Laut Arstechnica verließ Maxim Dounin, einer der Kernentwickler, Nginx, da er es nicht mehr als Open-Source- und kostenloses Projekt zum Wohle der Community ansah. Dounin gründete freenginx und erklärte, es solle von Entwicklern und nicht von Konzernen betrieben werden.

Dounin gehört zu den ersten und nach wie vor aktivsten Programmierern des Open-Source-Projekts Nginx und war einer der ersten Mitarbeiter von Nginx Inc., einem 2011 gegründeten Unternehmen, das kommerziellen Support für Webserver-Software anbietet. Laut W3techs wird Nginx mittlerweile auf etwa einem Drittel aller Webserver weltweit eingesetzt, gefolgt von Apache.

Nginx Inc. wurde 2019 von F5 (mit Sitz in Seattle, USA) übernommen. Ende 2019 wurden jedoch zwei Führungskräfte von Nginx, Maxim Konovalov und Igor Sysoev, von russischen Agenten in ihren Wohnungen festgenommen und verhört. Das Internetunternehmen Rambler beanspruchte die Rechte am Nginx-Quellcode und gab an, dieser sei während Sysoevs Tätigkeit dort entwickelt worden (auch Dounin arbeitete dort). Obwohl es vermutlich nicht zu einer Anklage kam, gab der Eingriff eines russischen Unternehmens in einen populären Open-Source-Bestandteil der Webinfrastruktur Anlass zur Besorgnis.

Sysoev verließ F5 und das Nginx-Projekt Anfang 2022. Im selben Jahr stellte F5 aufgrund der russischen Militäroperation in der Ukraine alle Aktivitäten in dem Land ein. Einige Nginx-Entwickler entwickelten daraufhin Angie, um Nginx-Nutzer in Russland zu unterstützen. Auch Dounin beendete seine Tätigkeit bei F5 zu diesem Zeitpunkt, engagierte sich aber weiterhin ehrenamtlich im Nginx-Projekt.

Dounin erklärte, dass das neue, nicht-technische Management bei F5 kürzlich annahm, genau zu wissen, wie man Open-Source-Projekte betreibt. Insbesondere habe diese Gruppe beschlossen, in die seit Jahren von Nginx verwendeten Sicherheitsrichtlinien einzugreifen und dabei sogar die Entwickler zu umgehen. Er schlussfolgerte, dass dies bedeutete, dass sie die an Nginx vorgenommenen Änderungen nicht mehr kontrollieren konnten, was ihn zum Verlassen des Unternehmens veranlasste.

Kommentare auf The Hacker News , darunter einer von einem angeblichen F5-Mitarbeiter, legen nahe, dass Dounin Einwände gegen die Zuordnung veröffentlichter CVE-Schwachstellen zu QUIC erhoben hat. Obwohl QUIC in den Standardeinstellungen von Nginx nicht aktiviert ist, ist es laut Nginx-Dokumentation in der Hauptversion der Anwendung enthalten, bietet die neuesten Funktionen und Fehlerbehebungen und ist stets aktuell.

Gegenüber The Hacker News erklärte Dounin, dass das F5-Team sowohl die Projektrichtlinien als auch den allgemeinen Konsens der Entwickler ohne jegliche Diskussion ignoriert habe. Die konkrete Handlung sei zwar nicht unbedingt verwerflich gewesen, der Gesamtansatz jedoch problematisch.

Laut Astechnica bedauerte F5 Dounins Ausscheiden und erklärte, erfolgreiche Open-Source-Projekte wie Nginx benötigten eine große und vielfältige Community von Mitwirkenden sowie die Anwendung strenger Industriestandards zur Identifizierung und Bewertung von Schwachstellen. Das Unternehmen ist überzeugt, dass dies der richtige Ansatz ist, um hochsichere Software für Kunden und die Community zu entwickeln.