สมาชิกหลักออกจากโครงการ Nginx เนื่องด้วยความกังวลด้านความปลอดภัย

ตามรายงานของ Arstechnica แม็กซิม ดูนิน หนึ่งในนักพัฒนาหลัก ได้ลาออกจาก Nginx เพราะเขาเชื่อว่า Nginx ไม่ใช่โอเพนซอร์สและโปรเจกต์ฟรีเพื่อประโยชน์ของชุมชนอีกต่อไป ดูนินเป็นผู้ก่อตั้ง freenginx และกล่าวว่าจะบริหารงานโดยนักพัฒนา ไม่ใช่องค์กรธุรกิจ

ดูนินเป็นหนึ่งในนักพัฒนาซอฟต์แวร์โอเพนซอร์ส Nginx รุ่นแรกๆ และยังคงทำงานอย่างแข็งขันที่สุด และเป็นหนึ่งในพนักงานกลุ่มแรกๆ ของ Nginx Inc. ซึ่งเป็นบริษัทที่ก่อตั้งขึ้นในปี 2011 เพื่อสนับสนุนซอฟต์แวร์เว็บเซิร์ฟเวอร์เชิงพาณิชย์ W3techs ระบุว่า ปัจจุบัน Nginx ถูกใช้ในเว็บเซิร์ฟเวอร์ประมาณหนึ่งในสามของโลก ตามมาด้วย Apache

Nginx Inc. ถูกซื้อกิจการโดย F5 ซึ่งตั้งอยู่ในซีแอตเทิลในปี 2019 อย่างไรก็ตาม ในช่วงปลายปี 2019 ผู้บริหารสองคนของ Nginx คือ Maxim Konovalov และ Igor Sysoev ถูกเจ้าหน้าที่รัสเซียควบคุมตัวและสอบสวนที่บ้านของพวกเขา บริษัทอินเทอร์เน็ต Rambler ได้อ้างสิทธิ์ในซอร์สโค้ดของ Nginx เนื่องจากได้รับการพัฒนาในขณะที่ Sysoev ทำงานอยู่ที่นั่น (Dounin ก็ทำงานอยู่ที่นั่นเช่นกัน) แม้ว่าดูเหมือนจะยังไม่มีการฟ้องร้องทางอาญา แต่การที่บริษัทรัสเซียแห่งหนึ่งได้ใช้ประโยชน์จากส่วนโอเพนซอร์สที่ได้รับความนิยมในโครงสร้างพื้นฐานเว็บได้ก่อให้เกิดความกังวลบางประการ

Sysoev ลาออกจาก F5 และโครงการ Nginx ในช่วงต้นปี 2022 ต่อมาในปีเดียวกันนั้น เนื่องจากปฏิบัติการ ทางทหาร ของรัสเซียในยูเครน F5 จึงยุติการดำเนินงานทั้งหมดในประเทศนั้น นักพัฒนา Nginx หลายรายจึงได้ก่อตั้ง Angie ขึ้นเพื่อสนับสนุนผู้ใช้ Nginx ในรัสเซีย Dounin ก็ลาออกจาก F5 ในช่วงเวลานั้นเช่นกัน แต่ยังคงมีบทบาทในโครงการ Nginx ในฐานะอาสาสมัคร

Thành viên cốt lõi rời dự án Nginx vì quan điểm bảo mật- Ảnh 1. — Nginx คือซอฟต์แวร์เซิร์ฟเวอร์เว็บโอเพ่นซอร์สที่มีส่วนแบ่งการตลาดมากที่สุดในปัจจุบัน

Dounin กล่าวว่าผู้บริหารชุดใหม่ที่ไม่ได้เป็นผู้เชี่ยวชาญทางเทคนิคของ F5 เพิ่งสันนิษฐานว่าพวกเขารู้วิธีบริหารโครงการโอเพนซอร์ส โดยเฉพาะอย่างยิ่ง กลุ่มดังกล่าวตัดสินใจแทรกแซงนโยบายความปลอดภัยที่ Nginx ใช้มาหลายปี โดยเลี่ยงการพัฒนา เขากล่าวว่านี่หมายความว่าเขาไม่สามารถควบคุมการเปลี่ยนแปลงต่างๆ ที่เกิดขึ้นกับ Nginx ได้อีกต่อไป ดังนั้นเขาจึงตัดสินใจลาออก

ความคิดเห็นใน The Hacker News รวมถึงความคิดเห็นจากพนักงานที่เชื่อว่ามาจาก F5 แสดงให้เห็นว่า Dounin คัดค้านการกำหนดช่องโหว่ CVE ที่เผยแพร่ให้กับ QUIC แม้ว่าจะไม่ได้เปิดใช้งานในการตั้งค่าเริ่มต้นของ Nginx แต่ตามเอกสารของ Nginx QUIC รวมอยู่ในแอปพลิเคชันเวอร์ชันหลัก มีฟีเจอร์และการแก้ไขข้อบกพร่องล่าสุด และได้รับการอัปเดตอยู่เสมอ

ในการให้สัมภาษณ์กับ The Hacker News โดนินกล่าวว่าทีม F5 เพิกเฉยต่อทั้งนโยบายโครงการและมุมมองของนักพัฒนาทั่วไปโดยไม่ได้มีการหารือใดๆ แม้ว่าการดำเนินการเฉพาะเจาะจงจะไม่ใช่เรื่องแย่ แต่แนวทางโดยรวมกลับมีปัญหา

Astechnica ระบุว่า F5 แสดงความเสียใจต่อการลาออกของ Dounin พร้อมเสริมว่าโครงการโอเพนซอร์สที่ประสบความสำเร็จอย่าง Nginx จำเป็นต้องมีชุมชนผู้ร่วมมือที่กว้างขวางและหลากหลาย รวมถึงมาตรฐานอุตสาหกรรมที่เข้มงวดในการกำหนดและให้คะแนนช่องโหว่ที่ทราบแล้ว บริษัทเชื่อว่านี่เป็นแนวทางที่เหมาะสมในการพัฒนาซอฟต์แวร์ที่มีความปลอดภัยสูงสำหรับลูกค้าและชุมชน

ลิงค์ที่มา