El desarrollador clave de Nginx inicia una bifurcación «freenginx» después de una disputa con la empresa matriz

Un desarrollador principal de Nginx, actualmente el servidor web más popular del mundo, abandonó el proyecto, afirmando que ya no lo ve como «un proyecto gratuito y de código abierto… para el bien público». Su bifurcación, freenginx , «va a estará dirigido por desarrolladores y no por entidades corporativas”, escribe Maxim Dounin , y estará “libre de acciones corporativas arbitrarias”.

Dounin es uno de los primeros y aún más activos codificadores del proyecto de código abierto Nginx y uno de los primeros empleados de Nginx, Inc., una empresa creada en 2011 para respaldar comercialmente el servidor web en constante crecimiento. Nginx se utiliza ahora en aproximadamente un tercio de los servidores web del mundo, por delante de Apache.

Una complicada historia de creación y propiedad.

Nginx Inc. fue adquirida por la firma de redes F5, con sede en Seattle, en 2019. Más tarde ese año, dos de los líderes de Nginx, Maxim Konavalov e Igor Sysoev, fueron detenidos e interrogados en sus hogares por agentes estatales rusos armados . El antiguo empleador de Sysoev, la firma de Internet Rambler , afirmó que poseía los derechos del código fuente de Nginx, tal como fue desarrollado durante el mandato de Sysoev en Rambler (donde también trabajaba Dounin). Si bien los cargos criminales y los derechos no parecen haberse materializado, las implicaciones de la intrusión de una empresa rusa en una popular pieza de código abierto de la infraestructura de la web causaron cierta alarma.

Sysoev dejó F5 y el proyecto Nginx a principios de 2022 . Más tarde ese año, debido a la invasión rusa de Ucrania, F5 interrumpió todas las operaciones en Rusia . Algunos desarrolladores de Nginx que aún se encuentran en Rusia formaron Angie , desarrollada en gran parte para apoyar a los usuarios de Nginx en Rusia. Dounin técnicamente también dejó de trabajar para F5 en ese momento, pero mantuvo su papel en Nginx «como voluntario», según la publicación de la lista de correo de Dounin.

Dounin escribe en su anuncio que “la nueva dirección no técnica” de F5 “ha decidido recientemente que saben mejor cómo ejecutar proyectos de código abierto. En particular, decidieron interferir con la política de seguridad que nginx utiliza durante años, ignorando tanto la política como la posición de los desarrolladores». Si bien era «bastante comprensible», dada su propiedad, Dounin escribió que significa que «ya no era capaz de controlar qué cambios se realizan en nginx”, de ahí su salida y bifurcación.

Los CVE en el centro de la división

Los comentarios en Hacker News, incluido uno de un supuesto empleado de F5 , sugieren que Dounin se opuso a la asignación de CVE (vulnerabilidades y exposiciones comunes) publicadas a errores en aspectos de QUIC . Si bien QUIC no está habilitado en la configuración más predeterminada de Nginx, se incluye en la versión «principal» de la aplicación, que, según la documentación de Nginx , contiene «las últimas funciones y correcciones de errores y siempre está actualizada».

El comentarista de F5, MZMegaZone, aparentemente el ingeniero de seguridad principal de F5 , señala que «varios clientes/usuarios tienen el código en producción, experimental o no», y agrega que F5 es una Autoridad de Numeración CVE (CNA).

Dounin amplió las acciones de F5 en una respuesta por correo posterior .

El «aviso de seguridad» más reciente se publicó a pesar de que se espera que el error particular en el código HTTP/3 experimental se solucione como un error normal según la política de seguridad existente, y todos los desarrolladores, incluido yo, estamos de acuerdo en esto. .

Y, si bien la acción en particular no es exactamente muy mala, el enfoque en general es bastante problemático.

Cuando se le preguntó sobre la posibilidad de confusión de nombres y problemas de marcas, Dounin escribió en otra respuesta sobre preocupaciones sobre marcas: «Creo que [ellos] no se aplican aquí, pero IANAL [no soy abogado]», y «el nombre se alinea bien con el proyecto». objetivos.»

MZMegaZone confirmó la relación entre las divulgaciones de seguridad y la salida de Dounin. «Todo lo que sé es que se opuso a nuestra decisión de asignar CVE, no estaba contento de que lo hiciéramos y el momento no parece una coincidencia», escribió MZMegaZone en Hacker News. Más tarde añadió: “ No creo que tener CVE deba reflejar mal a NGINX o Maxim. Lamento que se sienta así, pero no le tengo rencor y le deseo éxito, en serio”.

Ars contactó a F5 para hacer comentarios y actualizará esta publicación con cualquier información nueva.

Dounin, contactado por correo electrónico, señaló las respuestas de su lista de correo para obtener aclaraciones. Añadió: «Esencialmente, F5 ignoró tanto la política del proyecto como la posición de los desarrolladores conjuntos, sin ninguna discusión».

MegaZone escribió a Ars diciendo: “Es una situación desafortunada, pero creo que hicimos lo correcto para los usuarios al asignar CVE y seguir las prácticas de divulgación pública. Las personas racionales pueden no estar de acuerdo y respeto que Maxim tenga su propia opinión sobre el asunto y no tenga rencor hacia él ni hacia el tenedor. Desearía que no hubiera llegado a esto, pero respeto que él haya elegido”.