Anggota inti meninggalkan proyek Nginx karena masalah keamanan.

Menurut Arstechnica , Maxim Dounin, salah satu pengembang inti, meninggalkan Nginx karena ia merasa proyek tersebut bukan lagi proyek sumber terbuka dan gratis untuk kepentingan komunitas. Dounin mendirikan freenginx dan mengatakan bahwa proyek tersebut akan dijalankan oleh para pengembang, bukan organisasi korporasi.

Dounin adalah salah satu programmer pertama dan masih paling aktif di proyek open-source Nginx, dan merupakan salah satu karyawan pertama Nginx Inc., sebuah perusahaan yang didirikan pada tahun 2011 untuk menyediakan dukungan komersial untuk perangkat lunak server web. Menurut W3techs , Nginx sekarang digunakan di sekitar sepertiga server web di dunia , diikuti oleh Apache.

Nginx Inc. diakuisisi oleh F5 (berbasis di Seattle, AS) pada tahun 2019. Namun, pada akhir tahun 2019, dua eksekutif Nginx, Maxim Konovalov dan Igor Sysoev, ditahan dan diinterogasi di rumah mereka oleh agen Rusia. Perusahaan internet Rambler mengklaim kepemilikan kode sumber Nginx, menyatakan bahwa kode tersebut dikembangkan selama masa kerja Sysoev di sana (Dounin juga bekerja di sana). Meskipun kemungkinan tidak ada tuntutan pidana yang terwujud, masuknya perusahaan Rusia ke dalam bagian infrastruktur web sumber terbuka yang populer menimbulkan beberapa kekhawatiran.

Sysoev meninggalkan F5 dan proyek Nginx pada awal tahun 2022. Kemudian pada tahun yang sama, karena operasi militer Rusia di Ukraina, F5 menghentikan semua operasinya di negara tersebut. Beberapa pengembang Nginx menciptakan Angie untuk mendukung pengguna Nginx di Rusia. Dounin juga berhenti bekerja untuk F5 pada waktu itu, tetapi tetap mempertahankan perannya dalam proyek Nginx sebagai sukarelawan.

Thành viên cốt lõi rời dự án Nginx vì quan điểm bảo mật- Ảnh 1. — Nginx saat ini merupakan perangkat lunak server web sumber terbuka dengan pangsa pasar terbesar.

Dounin menyatakan bahwa manajemen non-teknis baru di F5 baru-baru ini berasumsi bahwa mereka tahu persis bagaimana menjalankan proyek sumber terbuka. Secara khusus, kelompok ini memutuskan untuk mencampuri kebijakan keamanan yang telah digunakan Nginx selama bertahun-tahun, bahkan tanpa melalui pengembang. Dia menyimpulkan bahwa ini berarti mereka tidak lagi dapat mengontrol perubahan apa yang dilakukan pada Nginx, yang menyebabkan dia meninggalkan perusahaan.

Komentar di The Hacker News , termasuk salah satu dari yang diduga karyawan F5, menunjukkan bahwa Dounin keberatan dengan atribusi kerentanan CVE yang dipublikasikan kepada QUIC. Meskipun tidak diaktifkan dalam pengaturan default Nginx, menurut dokumentasi Nginx, QUIC disertakan dalam versi utama aplikasi, berisi fitur dan perbaikan bug terbaru, dan selalu mutakhir.

Dalam wawancara dengan The Hacker News , Dounin menyatakan bahwa tim F5 mengabaikan kebijakan proyek dan konsensus umum pengembang tanpa diskusi apa pun. Meskipun tindakan spesifiknya tidak sepenuhnya buruk, pendekatan secara keseluruhan bermasalah.

Menurut Astechnica , F5 menyatakan penyesalan atas kepergian Dounin, dengan menyatakan bahwa proyek open-source yang sukses seperti Nginx membutuhkan komunitas kolaborator yang besar dan beragam, serta penerapan standar industri yang ketat untuk mengidentifikasi dan menilai kerentanan. Perusahaan percaya bahwa ini adalah pendekatan yang tepat untuk mengembangkan perangkat lunak yang sangat aman bagi pelanggan dan komunitas.

Tautan sumber