Des membres clés quittent le projet Nginx pour des raisons de sécurité.

Selon Ars Technica , Maxim Dounin, l'un des principaux développeurs, a quitté Nginx car il estimait que le projet n'était plus libre et gratuit, et qu'il ne servait plus la communauté. Dounin a fondé Freenginx, un projet géré par des développeurs et non par des entreprises.

Dounin est l'un des premiers et toujours des plus actifs programmeurs du projet open source Nginx. Il a également été l'un des premiers employés de Nginx Inc., une entreprise fondée en 2011 pour fournir un support commercial aux logiciels de serveurs web. Selon W3techs , Nginx est aujourd'hui utilisé sur environ un tiers des serveurs web mondiaux , suivi par Apache.

Nginx Inc. a été rachetée par F5 (basée à Seattle, aux États-Unis) en 2019. Cependant, fin 2019, deux dirigeants de Nginx, Maxim Konovalov et Igor Sysoev, ont été arrêtés et interrogés à leur domicile par des agents russes. La société internet Rambler a revendiqué la propriété du code source de Nginx, affirmant qu'il avait été développé à l'époque où Sysoev y travaillait (Dounin y travaillait également). Bien qu'aucune poursuite pénale n'ait vraisemblablement été engagée, l'intrusion d'une entreprise russe dans un composant open source essentiel de l'infrastructure web a suscité des inquiétudes.

Sysoev a quitté F5 et le projet Nginx début 2022. Plus tard dans l'année, suite à l'opération militaire russe en Ukraine, F5 a cessé toutes ses activités dans ce pays. Certains développeurs Nginx ont alors créé Angie pour assurer le support des utilisateurs Nginx en Russie. Dounin a également cessé de travailler pour F5 à cette époque, mais a continué à contribuer au projet Nginx en tant que bénévole.

Thành viên cốt lõi rời dự án Nginx vì quan điểm bảo mật- Ảnh 1. — Nginx est actuellement le logiciel serveur web open source qui détient la plus grande part de marché.

Dounin a déclaré que la nouvelle direction non technique de F5 avait récemment présumé savoir parfaitement comment gérer des projets open source. En particulier, ce groupe a décidé de modifier les politiques de sécurité utilisées par Nginx depuis des années, court-circuitant même les développeurs. Il en a conclu qu'ils ne pouvaient plus contrôler les modifications apportées à Nginx, ce qui l'a poussé à démissionner.

Des commentaires sur The Hacker News , dont un provenant d'un prétendu employé de F5, laissent entendre que Dounin s'opposait à l'attribution des vulnérabilités CVE publiées à QUIC. Bien que QUIC ne soit pas activé par défaut dans la configuration de Nginx, la documentation de Nginx indique qu'il est inclus dans la version principale de l'application, qu'il contient les dernières fonctionnalités et correctifs, et qu'il est toujours à jour.

Dans une interview accordée à The Hacker News , Dounin a déclaré que l'équipe F5 avait ignoré la politique du projet et le consensus général des développeurs sans aucune concertation. Si l'action en elle-même n'était pas forcément mauvaise, l'approche globale était problématique.

Selon Astechnica , F5 a exprimé ses regrets suite au départ de Dounin, affirmant que le succès de projets open source comme Nginx repose sur une communauté de collaborateurs large et diversifiée, ainsi que sur l'application de normes sectorielles rigoureuses pour l'identification et l'évaluation des vulnérabilités. L'entreprise estime qu'il s'agit de la meilleure approche pour développer des logiciels hautement sécurisés pour ses clients et la communauté.

Lien source