Основний учасник залишає проєкт Nginx через проблеми безпеки

Згідно з Arstechnica , Максим Дунін, один з основних розробників, покинув Nginx, оскільки вважає, що це більше не відкритий та безкоштовний проект на благо спільноти. Дунін заснував freenginx і заявив, що ним керуватимуть розробники, а не корпоративні організації.

Дунін був одним із перших і досі найактивніших розробників проєкту з відкритим кодом Nginx, а також одним із перших співробітників Nginx Inc., компанії, заснованої у 2011 році для комерційної підтримки програмного забезпечення веб-сервера. За даними W3techs , Nginx зараз використовується приблизно в третині веб-серверів світу , за ним йде Apache.

Компанію Nginx Inc. було придбано сіетлською компанією F5 у 2019 році. Однак наприкінці 2019 року двох керівників Nginx, Максима Коновалова та Ігоря Сисоєва, затримали та допитали російські агенти в їхніх будинках. Інтернет-компанія Rambler заявила про право власності на вихідний код Nginx, оскільки він був розроблений у той час, коли працював Сисоєв (там також працював Дунін). Хоча кримінальних звинувачень, схоже, не висунуто, вторгнення російської компанії в популярну частину веб-інфраструктури з відкритим кодом викликало певне занепокоєння.

Сисоєв покинув F5 та проєкт Nginx на початку 2022 року. Пізніше того ж року, через військову кампанію Росії в Україні, F5 припинила всю діяльність у цій країні. Кілька розробників Nginx створили Angie для підтримки користувачів Nginx у Росії. Дунін також покинув F5 у той час, але зберіг свою роль у проєкті Nginx як волонтер.

Дунін сказав, що нове нетехнічне керівництво F5 нещодавно припустило, що знає, як запускати проекти з відкритим кодом. Зокрема, група вирішила втрутитися в політику безпеки, яку Nginx використовував роками, минаючи розробників. Він сказав, що це означало, що вони більше не могли контролювати зміни, внесені до Nginx, тому він вирішив піти.

Коментарі на The Hacker News , зокрема від співробітника, який, як вважається, працює в F5, показують, що Дунін заперечує проти призначення опублікованих CVE QUIC. Хоча це не ввімкнено в налаштуваннях Nginx за замовчуванням, згідно з документацією Nginx, QUIC включено до основної версії програми, містить найновіші функції та виправлення помилок, а також завжди оновлюється.

В інтерв'ю The Hacker News Дунін сказав, що команда F5 проігнорувала як політику проекту, так і погляди розробників загалом без жодного обговорення. Хоча конкретні дії не обов'язково були поганими, загальний підхід був проблематичним.

F5 заявила, що шкодує про відхід Дуніна, і зазначила, що успішні проекти з відкритим кодом, такі як Nginx, вимагають великої та різноманітної спільноти учасників та суворих галузевих стандартів для визначення та оцінки відомих вразливостей. Компанія вважає, що це правильний підхід до розробки високобезпечного програмного забезпечення для своїх клієнтів та спільноти.