สมาชิกหลักออกจากโครงการ Nginx เนื่องด้วยความกังวลด้านความปลอดภัย

ตามรายงานของ Arstechnica แม็กซิม ดูนิน หนึ่งในนักพัฒนาหลัก ได้ลาออกจาก Nginx เพราะเขาเชื่อว่า Nginx ไม่ใช่โอเพนซอร์สและโครงการฟรีเพื่อประโยชน์ของชุมชนอีกต่อไป ดูนินเป็นผู้ก่อตั้ง freenginx และกล่าวว่าจะดำเนินการโดยนักพัฒนา ไม่ใช่องค์กรธุรกิจ

ดูนินเป็นหนึ่งในนักพัฒนาซอฟต์แวร์โอเพนซอร์ส Nginx รุ่นแรกๆ และยังคงทำงานอย่างแข็งขันที่สุด และเป็นหนึ่งในพนักงานกลุ่มแรกๆ ของ Nginx Inc. ซึ่งเป็นบริษัทที่ก่อตั้งขึ้นในปี 2011 เพื่อสนับสนุนซอฟต์แวร์เว็บเซิร์ฟเวอร์เชิงพาณิชย์ W3techs ระบุว่า ปัจจุบัน Nginx ถูกใช้ในเว็บเซิร์ฟเวอร์ประมาณหนึ่งในสามของ โลก ตามมาด้วย Apache

Nginx Inc. ถูกซื้อกิจการโดย F5 ซึ่งตั้งอยู่ในซีแอตเทิลในปี 2019 อย่างไรก็ตาม ในช่วงปลายปี 2019 ผู้บริหารสองคนของ Nginx คือ Maxim Konovalov และ Igor Sysoev ถูกเจ้าหน้าที่รัสเซียควบคุมตัวและสอบสวนที่บ้านของพวกเขา บริษัทอินเทอร์เน็ต Rambler อ้างสิทธิ์ในซอร์สโค้ดของ Nginx เนื่องจากได้รับการพัฒนาในขณะที่ Sysoev ทำงานอยู่ (Dounin ก็ทำงานอยู่ที่นั่นเช่นกัน) แม้ว่าดูเหมือนจะไม่มีข้อกล่าวหาทางอาญา แต่การที่บริษัทรัสเซียแห่งนี้บุกรุกเข้าไปในส่วนโอเพนซอร์สที่ได้รับความนิยมของโครงสร้างพื้นฐานเว็บได้ก่อให้เกิดความกังวลบางประการ

Sysoev ลาออกจาก F5 และโครงการ Nginx ในช่วงต้นปี 2022 ต่อมาในปีเดียวกันนั้น เนื่องจากปฏิบัติการ ทางทหาร ของรัสเซียในยูเครน F5 จึงยุติการดำเนินงานทั้งหมดในประเทศนั้น นักพัฒนา Nginx หลายรายจึงได้ก่อตั้ง Angie ขึ้นเพื่อสนับสนุนผู้ใช้ Nginx ในรัสเซีย Dounin ก็ลาออกจาก F5 ในช่วงเวลานั้นเช่นกัน แต่ยังคงมีบทบาทในโครงการ Nginx ในฐานะอาสาสมัคร

Thành viên cốt lõi rời dự án Nginx vì quan điểm bảo mật- Ảnh 1. — Nginx คือซอฟต์แวร์เซิร์ฟเวอร์เว็บโอเพ่นซอร์สที่มีส่วนแบ่งการตลาดมากที่สุดในปัจจุบัน

Dounin กล่าวว่าผู้บริหารชุดใหม่ที่ไม่ได้เป็นผู้เชี่ยวชาญทางเทคนิคของ F5 เพิ่งสันนิษฐานว่าพวกเขารู้วิธีบริหารโครงการโอเพนซอร์ส โดยเฉพาะอย่างยิ่ง กลุ่มดังกล่าวตัดสินใจแทรกแซงนโยบายความปลอดภัยที่ Nginx ใช้มาหลายปี โดยเลี่ยงการพัฒนา เขากล่าวว่านี่หมายความว่าพวกเขาไม่สามารถควบคุมการเปลี่ยนแปลงที่เกิดขึ้นกับ Nginx ได้อีกต่อไป ดังนั้นเขาจึงตัดสินใจลาออก

ความคิดเห็นใน The Hacker News รวมถึงความคิดเห็นจากพนักงานที่เชื่อว่ามาจาก F5 แสดงให้เห็นว่า Dounin คัดค้านการกำหนด CVE ที่เผยแพร่ให้กับ QUIC แม้ว่าจะไม่ได้เปิดใช้งานในการตั้งค่าเริ่มต้นของ Nginx แต่ตามเอกสารของ Nginx QUIC รวมอยู่ในแอปพลิเคชันเวอร์ชันหลัก มีฟีเจอร์และการแก้ไขข้อบกพร่องล่าสุด และอัปเดตอยู่เสมอ

ในการให้สัมภาษณ์กับ The Hacker News โดนินกล่าวว่าทีม F5 เพิกเฉยต่อทั้งนโยบายโครงการและมุมมองของนักพัฒนาทั่วไปโดยไม่ได้มีการหารือใดๆ แม้ว่าการดำเนินการเฉพาะเจาะจงจะไม่ใช่เรื่องแย่ แต่แนวทางโดยรวมกลับมีปัญหา

F5 ระบุว่ารู้สึกเสียใจต่อการจากไปของ Dounin และกล่าวว่าโครงการโอเพนซอร์สที่ประสบความสำเร็จอย่าง Nginx จำเป็นต้องมีชุมชนผู้ร่วมมือที่กว้างขวางและหลากหลาย รวมถึงมาตรฐานอุตสาหกรรมที่เข้มงวดในการกำหนดและให้คะแนนช่องโหว่ที่ทราบแล้ว บริษัท เชื่อว่านี่เป็นแนวทางที่ถูกต้องในการพัฒนาซอฟต์แวร์ที่มีความปลอดภัยสูงสำหรับลูกค้าและชุมชน

ลิงค์ที่มา