สมาชิกหลักออกจากโครงการ Nginx เนื่องด้วยความกังวลด้านความปลอดภัย

[โฆษณา_1]

จากข้อมูลของ Arstechnica แม็กซิม ดูนิน หนึ่งในนักพัฒนาหลัก ได้ลาออกจาก Nginx เพราะเขารู้สึกว่ามันไม่ใช่โครงการโอเพนซอร์สและฟรีที่จะเป็นประโยชน์ต่อชุมชนอีกต่อไป ดูนินจึงก่อตั้ง freenginx ขึ้นมา โดยกล่าวว่ามันจะบริหารงานโดยนักพัฒนา ไม่ใช่องค์กรธุรกิจ

Dounin เป็นหนึ่งในโปรแกรมเมอร์กลุ่มแรกๆ และยังคงทำงานอย่างแข็งขันที่สุดในโครงการโอเพนซอร์ส Nginx และเป็นหนึ่งในพนักงานกลุ่มแรกๆ ของ Nginx Inc. บริษัทที่ก่อตั้งขึ้นในปี 2011 เพื่อให้บริการสนับสนุนเชิงพาณิชย์สำหรับซอฟต์แวร์เว็บเซิร์ฟเวอร์ จากข้อมูลของ W3techs ปัจจุบัน Nginx ถูกใช้งานในเว็บเซิร์ฟเวอร์ประมาณหนึ่งในสามของ โลก รองลงมาคือ Apache

บริษัท Nginx Inc. ถูกซื้อกิจการโดย F5 (ตั้งอยู่ในซีแอตเติล สหรัฐอเมริกา) ในปี 2019 อย่างไรก็ตาม ในช่วงปลายปี 2019 ผู้บริหารของ Nginx สองคน คือ Maxim Konovalov และ Igor Sysoev ถูกเจ้าหน้าที่รัสเซียควบคุมตัวและสอบสวนที่บ้านของพวกเขา บริษัทอินเทอร์เน็ต Rambler อ้างสิทธิ์ความเป็นเจ้าของซอร์สโค้ดของ Nginx โดยระบุว่าซอร์สโค้ดดังกล่าวได้รับการพัฒนาขึ้นในช่วงที่ Sysoev ทำงานอยู่ที่นั่น (Dounin ก็เคยทำงานที่นั่นเช่นกัน) แม้ว่าอาจจะไม่มีการดำเนินคดีอาญาเกิดขึ้น แต่การที่บริษัทรัสเซียเข้ามาแทรกแซงโครงสร้างพื้นฐานเว็บแบบโอเพนซอร์สยอดนิยมนี้ก็ก่อให้เกิดความกังวลบางประการ

Sysoev ออกจาก F5 และโครงการ Nginx ในช่วงต้นปี 2022 ต่อมาในปีเดียวกันนั้น เนื่องจากการปฏิบัติการ ทางทหาร ของรัสเซียในยูเครน F5 จึงยุติการดำเนินงานทั้งหมดในประเทศนั้น นักพัฒนา Nginx บางคนจึงสร้าง Angie ขึ้นมาเพื่อสนับสนุนผู้ใช้ Nginx ในรัสเซีย Dounin ก็หยุดทำงานให้กับ F5 ในเวลานั้นเช่นกัน แต่ยังคงมีบทบาทในโครงการ Nginx ในฐานะอาสาสมัคร

Thành viên cốt lõi rời dự án Nginx vì quan điểm bảo mật- Ảnh 1. — ปัจจุบัน Nginx เป็นซอฟต์แวร์เว็บเซิร์ฟเวอร์โอเพนซอร์สที่มีส่วนแบ่งการตลาดมากที่สุด

ดูนินกล่าวว่า ผู้บริหารชุดใหม่ที่ไม่เชี่ยวชาญด้านเทคนิคของ F5 เพิ่งจะคิดว่าพวกเขารู้ดีว่าจะบริหารโครงการโอเพนซอร์สอย่างไร โดยเฉพาะอย่างยิ่ง กลุ่มนี้ตัดสินใจเข้าไปแทรกแซงนโยบายความปลอดภัยที่ Nginx ใช้มานานหลายปี โดยไม่ปรึกษาแม้แต่ผู้พัฒนา เขาสรุปว่านั่นหมายความว่าพวกเขาไม่สามารถควบคุมการเปลี่ยนแปลงที่เกิดขึ้นกับ Nginx ได้อีกต่อไป ซึ่งนำไปสู่การตัดสินใจลาออกของเขา

ความคิดเห็นบน เว็บไซต์ The Hacker News รวมถึงความคิดเห็นจากพนักงาน F5 ที่อ้างว่าเป็นบุคคลภายนอก บ่งชี้ว่า Dounin คัดค้านการระบุว่าช่องโหว่ CVE ที่เผยแพร่แล้วนั้นเกิดจาก QUIC แม้ว่า QUIC จะไม่ได้เปิดใช้งานในค่าเริ่มต้นของ Nginx แต่ตามเอกสารของ Nginx แล้ว QUIC นั้นรวมอยู่ในเวอร์ชันหลักของแอปพลิเคชัน มีคุณสมบัติและการแก้ไขข้อบกพร่องล่าสุด และได้รับการอัปเดตอยู่เสมอ

Dounin ให้สัมภาษณ์กับ The Hacker News ว่าทีมงาน F5 เพิกเฉยต่อนโยบายของโครงการและฉันทามติของนักพัฒนาโดยทั่วไปโดยไม่มีการปรึกษาหารือใดๆ แม้ว่าการกระทำเฉพาะเจาะจงนั้นอาจไม่ใช่เรื่องเลวร้าย แต่โดยรวมแล้ววิธีการดังกล่าวเป็นปัญหา

จากข้อมูลของ Astechnica บริษัท F5 แสดงความเสียใจต่อการลาออกของ Dounin โดยระบุว่าโครงการโอเพนซอร์สที่ประสบความสำเร็จอย่าง Nginx จำเป็นต้องมีชุมชนผู้ร่วมงานขนาดใหญ่และหลากหลาย รวมถึงการประยุกต์ใช้มาตรฐานอุตสาหกรรมที่เข้มงวดในการระบุและประเมินช่องโหว่ บริษัทเชื่อว่านี่คือแนวทางที่ถูกต้องในการพัฒนาซอฟต์แวร์ที่มีความปลอดภัยสูงสำหรับลูกค้าและชุมชน

[โฆษณา_2]
ลิงก์แหล่งที่มา