Volgens Arstechnica heeft Maxim Dounin, een van de kernontwikkelaars, Nginx verlaten omdat hij gelooft dat het niet langer een open source en gratis project is ten behoeve van de community. Dounin richtte Freenginx op en zei dat het door ontwikkelaars gerund zal worden, niet door bedrijven.
Dounin was een van de eerste en nog steeds meest actieve ontwikkelaars van het open-sourceproject Nginx en een van de eerste medewerkers van Nginx Inc., een bedrijf dat in 2011 werd opgericht om de webserversoftware commercieel te ondersteunen. Volgens W3techs wordt Nginx nu gebruikt in ongeveer een derde van 's werelds webservers, gevolgd door Apache.
Nginx Inc. werd in 2019 overgenomen door F5, gevestigd in Seattle. Eind 2019 werden echter twee Nginx-managers, Maxim Konovalov en Igor Sysoev, door Russische agenten thuis aangehouden en ondervraagd. Internetbedrijf Rambler claimde eigenaar te zijn van de Nginx-broncode, omdat deze ontwikkeld was in de tijd dat Sysoev werkte (Dounin werkte daar ook). Hoewel er geen strafrechtelijke aanklachten lijken te zijn ingediend, heeft de inbraak van het Russische bedrijf in een populair open-sourceonderdeel van de webinfrastructuur tot enige zorgen geleid.
Sysoev verliet F5 en het Nginx-project begin 2022. Later dat jaar staakte F5 alle activiteiten in dat land vanwege de Russische militaire campagne in Oekraïne. Verschillende Nginx-ontwikkelaars richtten Angie op om Nginx-gebruikers in Rusland te ondersteunen. Dounin verliet F5 destijds ook, maar bleef als vrijwilliger betrokken bij het Nginx-project.
Nginx is de open source webserversoftware met momenteel het grootste marktaandeel.
Dounin zei dat het nieuwe, niet-technische management van F5 er recent van uitging dat ze wisten hoe ze open-sourceprojecten moesten runnen. De groep besloot met name te rommelen met het beveiligingsbeleid dat Nginx al jaren hanteerde, en omzeilde daarmee de ontwikkelaars. Hij zei dat dit betekende dat ze geen controle meer hadden over welke wijzigingen er in Nginx werden aangebracht, dus besloot hij te vertrekken.
Reacties op The Hacker News , waaronder die van een medewerker die vermoedelijk van F5 komt, tonen aan dat Dounin bezwaar maakt tegen de toewijzing van gepubliceerde CVE's aan QUIC. Hoewel QUIC niet is ingeschakeld in de standaardconfiguratie van Nginx, is het volgens de documentatie van Nginx opgenomen in de hoofdversie van de applicatie, bevat het de nieuwste functies en bugfixes en is het altijd up-to-date.
In een gesprek met The Hacker News zei Dounin dat het F5-team zowel het projectbeleid als de standpunten van de algemene ontwikkelaars negeerde zonder enige discussie. Hoewel de specifieke acties niet per se slecht waren, was de algehele aanpak problematisch.
F5 betreurt het vertrek van Dounin en stelt dat succesvolle open-sourceprojecten zoals Nginx een grote en diverse community van bijdragers en strikte industrienormen vereisen voor het aanwijzen en beoordelen van bekende kwetsbaarheden. Het bedrijf is van mening dat dit de juiste aanpak is voor het ontwikkelen van uiterst veilige software voor zijn klanten en de community.
Bronlink
Reactie (0)