Le développeur clé de Nginx lance un fork « freenginx » après un différend avec la société mère

Un développeur principal de Nginx, actuellement le serveur Web le plus populaire au monde, a quitté le projet, déclarant qu’il ne le considère plus comme « un projet libre et open source… pour le bien public ». Son fork, freenginx , « va être géré par des développeurs, et non par des sociétés », écrit Maxim Dounin , et sera « libre de toute action arbitraire des sociétés ».

Dounin est l’un des premiers codeurs et toujours le plus actif sur le projet open source Nginx et l’un des premiers employés de Nginx, Inc., une société créée en 2011 pour prendre en charge commercialement le serveur Web en croissance constante. Nginx est désormais utilisé sur environ un tiers des serveurs Web dans le monde, devant Apache.

Une histoire délicate de création et de propriété

Nginx Inc. a été racheté par la société de réseau F5 basée à Seattle en 2019. Plus tard cette année-là, deux des dirigeants de Nginx, Maxim Konavalov et Igor Sysoev, ont été arrêtés et interrogés à leur domicile par des agents armés de l’État russe . L’ancien employeur de Sysoev, la société Internet Rambler , a affirmé détenir les droits sur le code source de Nginx, tel qu’il a été développé pendant le mandat de Sysoev chez Rambler (où Dounin travaillait également). Bien que les accusations criminelles et les droits ne semblent pas s’être concrétisés, les implications de l’intrusion d’une entreprise russe dans un élément open source populaire de l’infrastructure du Web ont suscité une certaine inquiétude.

Sysoev a quitté F5 et le projet Nginx début 2022 . Plus tard cette année-là, en raison de l’invasion russe de l’Ukraine, F5 a interrompu toutes ses opérations en Russie . Certains développeurs Nginx toujours en Russie ont formé Angie , développé en grande partie pour prendre en charge les utilisateurs de Nginx en Russie. Dounin a techniquement cessé de travailler pour F5 à ce moment-là également, mais a maintenu son rôle dans Nginx « en tant que bénévole », selon la liste de diffusion de Dounin.

Dounin écrit dans son annonce que « la nouvelle direction non technique » de F5 « a récemment décidé qu’elle savait mieux gérer des projets open source. En particulier, ils ont décidé d’interférer avec la politique de sécurité utilisée par Nginx depuis des années, ignorant à la fois la politique et la position des développeurs. quelles modifications sont apportées dans nginx », d’où son départ et son fork.

Les CVE au centre de la scission

Les commentaires sur Hacker News, dont celui d’un prétendu employé de F5 , suggèrent que Dounin s’est opposé à l’attribution de CVE (Common Vulnerabilities and Exposures) publiées aux bogues dans certains aspects de QUIC . Bien que QUIC ne soit pas activé dans la configuration la plus par défaut de Nginx, il est inclus dans la version « principale » de l’application, qui, selon la documentation de Nginx , contient « les dernières fonctionnalités et corrections de bogues et est toujours à jour ».

L’intervenant de F5, MZMegaZone, apparemment le principal ingénieur en sécurité chez F5 , note qu’« un certain nombre de clients/utilisateurs ont le code en production, expérimental ou non », et ajoute que F5 est une autorité de numérotation CVE (CNA).

Dounin a développé les actions de F5 dans une réponse ultérieure par courrier .

L’« avis de sécurité » le plus récent a été publié malgré le fait que le bug particulier dans le code expérimental HTTP/3 devrait être corrigé comme un bug normal conformément à la politique de sécurité existante, et tous les développeurs, moi y compris, sont d’accord sur ce point. .

Et même si l’action en question n’est pas vraiment mauvaise, l’approche en général est assez problématique.

Interrogé sur le risque de confusion entre les noms et les problèmes liés aux marques, Dounin a écrit dans une autre réponse concernant les problèmes liés aux marques : « Je crois que [ils] ne s’appliquent pas ici, mais IANAL [je ne suis pas avocat] », et « le nom s’aligne bien avec le projet ». objectifs. »

MZMegaZone a confirmé la relation entre les révélations de sécurité et le départ de Dounin. « Tout ce que je sais, c’est qu’il s’est opposé à notre décision d’attribuer des CVE, qu’il n’était pas content que nous l’ayons fait, et que le moment choisi ne semble pas une coïncidence », a écrit MZMegaZone sur Hacker News. Il a ajouté plus tard : « Je ne pense pas que le fait d’avoir les CVE devrait avoir un impact négatif sur NGINX ou Maxim. Je suis désolé qu’il ressente ce qu’il ressent, mais je n’ai aucune mauvaise volonté envers lui et je lui souhaite du succès, sérieusement.

Ars a contacté F5 pour commentaires et mettra à jour ce message avec toute nouvelle information.

Dounin, contacté par courrier électronique, a souligné les réponses de sa liste de diffusion pour obtenir des éclaircissements. Il a ajouté : « Essentiellement, F5 a ignoré à la fois la politique du projet et la position des co-développeurs, sans aucune discussion. »

MegaZone a écrit à Ars en disant : « C’est une situation malheureuse, mais je pense que nous avons fait la bonne chose pour les utilisateurs en attribuant des CVE et en suivant les pratiques de divulgation publique. Les personnes rationnelles peuvent être en désaccord et je respecte que Maxim ait son propre point de vue sur la question et n’ait aucune mauvaise volonté envers lui ou la fourchette. J’aurais aimé qu’on n’en arrive pas là, mais je respecte que le choix lui appartenait.