Der wichtigste Nginx-Entwickler startet nach einem Streit mit der Muttergesellschaft einen „Freenginx“-Fork

Ein Hauptentwickler von Nginx, dem derzeit weltweit beliebtesten Webserver, hat das Projekt verlassen und erklärt, dass er es nicht mehr als „ein kostenloses und Open-Source-Projekt … für das Gemeinwohl“ betrachte. Sein Fork, freenginx , „ist dabei von Entwicklern und nicht von Unternehmen betrieben werden“, schreibt Maxim Dounin , und „frei von willkürlichen Unternehmensmaßnahmen“ sein.

Dounin ist einer der ersten und immer noch aktivsten Programmierer des Open-Source-Projekts Nginx und einer der ersten Mitarbeiter von Nginx, Inc., einem Unternehmen, das 2011 gegründet wurde, um den stetig wachsenden Webserver kommerziell zu unterstützen. Nginx wird mittlerweile auf etwa einem Drittel aller Webserver weltweit eingesetzt, noch vor Apache.

Eine schwierige Entstehungs- und Besitzgeschichte

Nginx Inc. wurde 2019 vom in Seattle ansässigen Netzwerkunternehmen F5 übernommen. Später in diesem Jahr wurden zwei der Anführer von Nginx, Maxim Konavalov und Igor Sysoev, in ihren Häusern von bewaffneten russischen Staatsagenten festgenommen und verhört . Sysoevs früherer Arbeitgeber, das Internetunternehmen Rambler , behauptete, dass es die Rechte am Quellcode von Nginx besitze, da dieser während Sysoevs Amtszeit bei Rambler (wo Dounin auch arbeitete) entwickelt wurde. Während die strafrechtlichen Anklagen und Rechte offenbar nicht eingetreten sind, sorgten die Auswirkungen des Eindringens eines russischen Unternehmens in einen beliebten Open-Source-Teil der Web-Infrastruktur für einige Besorgnis.

Sysoev verließ F5 und das Nginx-Projekt Anfang 2022 . Später in diesem Jahr stellte F5 aufgrund der russischen Invasion in der Ukraine alle Operationen in Russland ein . Einige noch in Russland ansässige Nginx-Entwickler gründeten Angie , das größtenteils zur Unterstützung von Nginx-Benutzern in Russland entwickelt wurde. Zu diesem Zeitpunkt hörte Dounin technisch gesehen auch auf, für F5 zu arbeiten, behielt aber seine Rolle bei Nginx „als Freiwilliger“ bei, wie es in Dounins Mailinglisten-Beitrag heißt.

Dounin schreibt in seiner Ankündigung, dass „das neue nicht-technische Management“ bei F5 „kürzlich entschieden hat, dass sie besser wissen, wie man Open-Source-Projekte betreibt.“ Insbesondere beschlossen sie, in die Sicherheitsrichtlinien einzugreifen, die Nginx seit Jahren verwendet, und ignorierten dabei sowohl die Richtlinien als auch die Position der Entwickler. „Während dies angesichts ihrer Eigentümerschaft „durchaus verständlich“ sei, schrieb Dounin, dass dies bedeute, dass er „nicht mehr in der Lage sei, die Kontrolle zu behalten“. Welche Änderungen werden in Nginx vorgenommen?“, daher sein Abgang und seine Abspaltung.

Die CVEs im Zentrum der Spaltung

Kommentare auf Hacker News, darunter einer von einem angeblichen Mitarbeiter von F5 , deuten darauf hin, dass Dounin sich gegen die Zuordnung veröffentlichter CVEs (Common Vulnerabilities and Exposures) zu Fehlern in Aspekten von QUIC aussprach . Während QUIC im Standard-Nginx-Setup nicht aktiviert ist, ist es in der „Hauptversion“ der Anwendung enthalten, die laut Nginx- Dokumentation „die neuesten Funktionen und Fehlerbehebungen enthält und immer auf dem neuesten Stand ist“.

Der Kommentator von F5, MZMegaZone, scheinbar der leitende Sicherheitsingenieur bei F5 , stellt fest, dass „eine Reihe von Kunden/Benutzern den Code in der Produktion haben, ob experimentell oder nicht“, und fügt hinzu, dass F5 eine CVE Numbering Authority (CNA) ist.

Dounin erläuterte die Aktionen von F5 in einer späteren E-Mail-Antwort .

Der jüngste „Sicherheitshinweis“ wurde veröffentlicht, obwohl erwartet wird, dass der bestimmte Fehler im experimentellen HTTP/3-Code als normaler Fehler gemäß der bestehenden Sicherheitsrichtlinie behoben wird, und alle Entwickler, mich eingeschlossen, sind sich darin einig .

Und obwohl die konkrete Aktion nicht gerade schlecht ist, ist der Ansatz im Allgemeinen ziemlich problematisch.

Auf die Möglichkeit von Namensverwechslungen und Markenproblemen angesprochen, schrieb Dounin in einer anderen Antwort zu Markenbedenken: „Ich glaube, dass [sie] hier nicht zutreffen, aber IANAL [ich bin kein Anwalt]“ und „der Name passt gut zum Projekt.“ Ziele.“

MZMegaZone bestätigte den Zusammenhang zwischen Sicherheitsoffenlegungen und Dounins Abgang. „Ich weiß nur, dass er Einwände gegen unsere Entscheidung zur Zuweisung von CVEs hatte, darüber nicht erfreut war und der Zeitpunkt nicht zufällig zu sein scheint“, schrieb MZMegaZone auf Hacker News. Später fügte er hinzu: „ Ich denke nicht, dass die CVEs ein schlechtes Licht auf NGINX oder Maxim werfen sollten.“ Es tut mir leid, dass er sich so fühlt, aber ich hege keine bösen Absichten ihm gegenüber und wünsche ihm im Ernst viel Erfolg.“

Ars hat F5 um einen Kommentar gebeten und wird diesen Beitrag mit allen neuen Informationen aktualisieren.

Dounin, der per E-Mail erreicht wurde, verwies zur Klarstellung auf die Antworten seiner Mailingliste. Er fügte hinzu: „Im Wesentlichen ignorierte F5 sowohl die Projektpolitik als auch die Position der gemeinsamen Entwickler ohne jegliche Diskussion.“

MegaZone schrieb an Ars: „Es ist eine unglückliche Situation, aber ich denke, wir haben das Richtige für die Benutzer getan, indem wir CVEs zugewiesen und die Praktiken der Offenlegung befolgt haben.“ Vernünftige Menschen können anderer Meinung sein und ich respektiere, dass Maxim seine eigene Meinung zu diesem Thema hat und weder ihm noch der Abspaltung gegenüber böse ist. Ich wünschte, es wäre nicht so weit gekommen, aber ich respektiere die Entscheidung, die er treffen musste.“