सुरक्षा संबंधी चिंताओं के कारण कोर सदस्य ने Nginx परियोजना छोड़ी

आर्स्टेक्निका के अनुसार, मुख्य डेवलपर्स में से एक, मैक्सिम डौनिन ने एनजीनिक्स छोड़ दिया है क्योंकि उनका मानना ​​है कि यह अब समुदाय के लाभ के लिए एक ओपन सोर्स और मुफ़्त प्रोजेक्ट नहीं रहा। डौनिन ने फ्रीएनजीनिक्स की स्थापना की और कहा कि इसे कॉर्पोरेट संगठनों द्वारा नहीं, बल्कि डेवलपर्स द्वारा चलाया जाएगा।

डौनिन एनजीनिक्स ओपन सोर्स प्रोजेक्ट के शुरुआती और अब तक के सबसे सक्रिय डेवलपर्स में से एक थे, और एनजीनिक्स इंक. के शुरुआती कर्मचारियों में से एक थे। एनजीनिक्स इंक. की स्थापना 2011 में वेब सर्वर सॉफ्टवेयर को व्यावसायिक रूप से सपोर्ट करने के लिए की गई थी। W3techs के अनुसार, एनजीनिक्स अब दुनिया के लगभग एक तिहाई वेब सर्वरों में इस्तेमाल किया जाता है, उसके बाद अपाचे का नंबर आता है।

एनजीनिक्स इंक. को 2019 में सिएटल स्थित एफ5 ने अधिग्रहित कर लिया था। हालाँकि, 2019 के अंत में, एनजीनिक्स के दो अधिकारियों, मैक्सिम कोनोवालोव और इगोर सिसोएव को रूसी एजेंटों ने उनके घरों पर हिरासत में लिया और उनसे पूछताछ की। इंटरनेट कंपनी रैम्बलर ने एनजीनिक्स सोर्स कोड पर स्वामित्व का दावा किया क्योंकि यह उस समय विकसित किया गया था जब सिसोएव काम करते थे (डूनिन भी वहीं काम करते थे)। हालाँकि आपराधिक आरोप अभी तक नहीं लगे हैं, लेकिन वेब इन्फ्रास्ट्रक्चर के एक लोकप्रिय ओपन-सोर्स हिस्से में रूसी कंपनी की घुसपैठ ने कुछ चिंताएँ पैदा की हैं।

सिसोव ने 2022 की शुरुआत में F5 और Nginx प्रोजेक्ट छोड़ दिया। उसी वर्ष बाद में, यूक्रेन में रूस के सैन्य अभियान के कारण, F5 ने उस देश में सभी परिचालन बंद कर दिए। कई Nginx डेवलपर्स ने रूस में Nginx उपयोगकर्ताओं का समर्थन करने के लिए Angie का गठन किया। उस समय डौनिन ने भी F5 छोड़ दिया, लेकिन Nginx प्रोजेक्ट में एक स्वयंसेवक के रूप में अपनी भूमिका जारी रखी।

डौनिन ने कहा कि F5 के नए गैर-तकनीकी प्रबंधन ने हाल ही में यह मान लिया था कि उन्हें ओपन सोर्स प्रोजेक्ट्स चलाना आता है। खास तौर पर, इस समूह ने डेवलपर्स को दरकिनार करते हुए, Nginx द्वारा वर्षों से इस्तेमाल की जा रही सुरक्षा नीति में छेड़छाड़ करने का फैसला किया। उन्होंने कहा कि इसका मतलब था कि अब वे Nginx में किए जाने वाले बदलावों को नियंत्रित नहीं कर सकते थे, इसलिए उन्होंने कंपनी छोड़ने का फैसला किया।

द हैकर न्यूज़ पर टिप्पणियाँ, जिनमें एक कर्मचारी की भी शामिल है जिसे F5 से माना जा रहा है, बताती हैं कि डूनिन प्रकाशित CVEs को QUIC को सौंपे जाने पर आपत्ति जताते हैं। हालाँकि यह Nginx के डिफ़ॉल्ट सेटअप में सक्षम नहीं है, Nginx दस्तावेज़ों के अनुसार, QUIC एप्लिकेशन के मुख्य संस्करण में शामिल है, इसमें नवीनतम सुविधाएँ और बग फिक्स शामिल हैं, और यह हमेशा अद्यतित रहता है।

द हैकर न्यूज़ से बात करते हुए, डूनिन ने कहा कि F5 टीम ने बिना किसी चर्चा के परियोजना नीति और सामान्य डेवलपर्स के विचारों, दोनों को नज़रअंदाज़ कर दिया। हालाँकि विशिष्ट कार्यवाहियाँ ज़रूरी तौर पर बुरी नहीं थीं, लेकिन समग्र दृष्टिकोण समस्याग्रस्त था।

F5 ने कहा कि उसे डूनिन के जाने का अफ़सोस है, और कहा कि Nginx जैसी सफल ओपन सोर्स परियोजनाओं के लिए योगदानकर्ताओं के एक बड़े और विविध समुदाय और ज्ञात कमज़ोरियों को चिह्नित करने और उनका मूल्यांकन करने के लिए सख़्त उद्योग मानकों की आवश्यकता होती है। कंपनी का मानना ​​है कि अपने ग्राहकों और समुदाय के लिए अत्यधिक सुरक्षित सॉफ़्टवेयर विकसित करने का यह सही तरीका है।