Μέλος του βασικού προγράμματος αποχωρεί από το έργο Nginx λόγω ανησυχιών για την ασφάλεια

Σύμφωνα με την Arstechnica , ο Maxim Dounin - ένας από τους βασικούς προγραμματιστές - έφυγε από το Nginx επειδή πιστεύει ότι δεν είναι πλέον ένα έργο ανοιχτού κώδικα και δωρεάν προς όφελος της κοινότητας. Ο Dounin ίδρυσε το freenginx και είπε ότι θα λειτουργεί από προγραμματιστές, όχι από εταιρικούς οργανισμούς.

Ο Dounin ήταν ένας από τους πρώτους και ακόμη πιο ενεργούς προγραμματιστές του έργου ανοιχτού κώδικα Nginx και ήταν ένας από τους πρώτους υπαλλήλους της Nginx Inc., μιας εταιρείας που ιδρύθηκε το 2011 για να υποστηρίξει εμπορικά το λογισμικό διακομιστή ιστού. Σύμφωνα με την W3techs , το Nginx χρησιμοποιείται πλέον σε περίπου το ένα τρίτο των διακομιστών ιστού παγκοσμίως , ακολουθούμενο από τον Apache.

Η Nginx Inc. εξαγοράστηκε από την F5 με έδρα το Σιάτλ το 2019. Ωστόσο, στα τέλη του 2019, δύο στελέχη της Nginx, ο Maxim Konovalov και ο Igor Sysoev, συνελήφθησαν και ανακρίθηκαν από Ρώσους πράκτορες στα σπίτια τους. Η εταιρεία διαδικτύου Rambler ισχυρίστηκε ότι ήταν κάτοχος του πηγαίου κώδικα της Nginx, επειδή αναπτύχθηκε την εποχή που εργαζόταν ο Sysoev (ο Dounin εργαζόταν επίσης εκεί). Ενώ δεν φαίνεται να έχουν απαγγελθεί ποινικές κατηγορίες, η εισβολή της ρωσικής εταιρείας σε ένα δημοφιλές τμήμα ανοιχτού κώδικα της διαδικτυακής υποδομής έχει εγείρει ορισμένες ανησυχίες.

Ο Sysoev εγκατέλειψε την F5 και το έργο Nginx στις αρχές του 2022. Αργότερα εκείνο το έτος, λόγω της στρατιωτικής εκστρατείας της Ρωσίας στην Ουκρανία, η F5 σταμάτησε όλες τις δραστηριότητές της στη χώρα. Αρκετοί προγραμματιστές Nginx σχημάτισαν την Angie για να υποστηρίξουν τους χρήστες Nginx στη Ρωσία. Ο Dounin επίσης εγκατέλειψε την F5 εκείνη την εποχή, αλλά διατήρησε τον ρόλο του στο έργο Nginx ως εθελοντής.

Ο Ντούνιν είπε ότι η νέα, μη τεχνική διοίκηση της F5 υπέθεσε πρόσφατα ότι γνώριζε πώς να εκτελεί έργα ανοιχτού κώδικα. Συγκεκριμένα, η ομάδα αποφάσισε να παραβιάσει την πολιτική ασφαλείας που χρησιμοποιούσε η Nginx εδώ και χρόνια, παρακάμπτοντας τους προγραμματιστές. Είπε ότι αυτό σήμαινε ότι δεν μπορούσαν πλέον να ελέγχουν ποιες αλλαγές γίνονταν στην Nginx, οπότε αποφάσισε να φύγει.

Σχόλια στο The Hacker News , συμπεριλαμβανομένου ενός από έναν υπάλληλο που πιστεύεται ότι προέρχεται από την F5, δείχνουν ότι ο Dounin αντιτίθεται στην ανάθεση δημοσιευμένων CVE στο QUIC. Παρόλο που δεν είναι ενεργοποιημένο στην προεπιλεγμένη ρύθμιση του Nginx, σύμφωνα με την τεκμηρίωση του Nginx, το QUIC περιλαμβάνεται στην κύρια έκδοση της εφαρμογής, περιέχει τις πιο πρόσφατες δυνατότητες και διορθώσεις σφαλμάτων και είναι πάντα ενημερωμένο.

Μιλώντας στο The Hacker News , ο Dounin είπε ότι η ομάδα του F5 αγνόησε τόσο την πολιτική του έργου όσο και τις απόψεις των γενικών προγραμματιστών χωρίς καμία συζήτηση. Ενώ οι συγκεκριμένες ενέργειες δεν ήταν απαραίτητα κακές, η συνολική προσέγγιση ήταν προβληματική.

Η F5 δήλωσε ότι λυπάται για την αποχώρηση του Dounin και δήλωσε ότι τα επιτυχημένα έργα ανοιχτού κώδικα όπως το Nginx απαιτούν μια μεγάλη και ποικιλόμορφη κοινότητα συνεισφερόντων και αυστηρά πρότυπα του κλάδου για τον προσδιορισμό και τη βαθμολόγηση γνωστών τρωτών σημείων. Η εταιρεία πιστεύει ότι αυτή είναι η σωστή προσέγγιση για την ανάπτυξη λογισμικού υψηλής ασφάλειας για τους πελάτες της και την κοινότητα.