Nginx主要開発者、親会社との紛争後「freenginx」フォークを開始

現在世界で最も人気のある Web サーバーである Nginx の中心的な開発者がプロ​​ジェクトを辞め、これを「公益のための無料のオープンソース プロジェクト」とはもはや考えていない、と述べました。彼のフォークであるfreenginxは「 「企業体ではなく開発者によって運営されなければならない」とマキシム・ドゥーニン氏は書いており、「企業の恣意的な行為から自由」になるという。

Dounin は、オープン ソース Nginx プロジェクトの初期かつ現在でも最も活発なプログラマーの 1 人であり、着実に成長する Web サーバーを商業的にサポートするために 2011 年に設立された会社である Nginx, Inc. の最初の従業員の 1 人です。Nginx は現在、Apache を上回り、世界の Web サーバーの約 3 分の 1で使用されています。

創造と所有に関するトリッキーな歴史

Nginx Inc.は、2019年にシアトルに本拠を置くネットワーキング会社F5に買収された。同年後半、Nginxのリーダーの2人、マキシム・コナバロフとイーゴリ・シソエフが武装したロシア国家職員によって自宅で拘束され、尋問された。シソエフ氏の元雇用主であるインターネット企業ランブラー社は、Nginxのソースコードはシソエフ氏がランブラー社（ドゥーニン氏も勤務していた）在職中に開発されたものであり、同社がソースコードの権利を所有していると主張した。刑事告訴と権利は実現していないようだが、ロシア企業がウェブのインフラストラクチャの人気のオープンソース部分に侵入した影響は、いくらかの警戒を引き起こした。

Sysoev は2022 年初めに F5 と Nginx プロジェクトを去りました。同年後半、ロシアによるウクライナ侵攻のため、F5はロシアでのすべての作戦を中止した。まだロシアに滞在している一部の Nginx 開発者は、主にロシアの Nginx ユーザーをサポートするために開発されたAngie を設立しました。Dounin 氏のメーリング リストへの投稿によれば、Dounin 氏も厳密にはその時点で F5 での仕事をやめましたが、「ボランティアとして」Nginx での役割を維持しました。

ドゥーニン氏は発表の中で、F5の「技術系ではない新しい経営陣」が「最近、オープンソースプロジェクトの運営方法をよく知っていると判断した」と書いている。特に、彼らは、nginx が長年使用してきたセキュリティ ポリシーと開発者の立場の両方を無視して、干渉することを決定しました。」彼らの所有権を考えると、それは「非常に理解できます」が、ドゥーニンは、それは「もはや制御できなくなったことを意味する」と書いています。どの変更が nginx で行われるのか」ということで、彼は出発し、分岐しました。

分割の中心にある CVE

Hacker News へのコメント ( F5 の従業員とされる人物によるものを含む) は、公開された CVE (共通脆弱性およびエクスポージャ)をQUICの側面のバグに割り当てることに Dounin が反対していることを示唆しています。QUIC は、最もデフォルトの Nginx セットアップでは有効になっていませんが、アプリケーションの「メインライン」バージョンに含まれており、Nginx のドキュメントによると、「最新の機能とバグ修正が含まれており、常に最新の状態」です。

F5 のコメント投稿者である MZMegaZone は、F5 の主任セキュリティ エンジニアと思われますが、「多くの顧客/ユーザーが、実験的であるかどうかにかかわらず、運用中のコードを所有している」と指摘し、F5 が CVE 番号付け機関 (CNA) であると付け加えました。

Dounin は後のメール返信で F5 の行動を詳しく説明しました。

実験的な HTTP/3 コードの特定のバグは既存のセキュリティ ポリシーに従って通常のバグとして修正される予定であるにもかかわらず、最新の「セキュリティ アドバイザリ」がリリースされました。また、私を含む開発者全員がこれに同意しています。 。

そして、特定のアクションはそれほど悪いものではありませんが、一般的なアプローチには非常に問題があります。

名前の混乱と商標の問題の可能性について尋ねられたドゥーニン氏は、商標に関する懸念について別の回答で次のように書いている。「ここでは（それらは）当てはまらないと思うが、IANAL（私は弁護士ではない）」、そして「名前はプロジェクトとよく一致している」目標。」

MZMegaZoneは、セキュリティ情報の開示とドゥーニン氏の退任との関係を認めた。「私が知っているのは、彼がCVEを割り当てるという私たちの決定に反対し、私たちが割り当てたことに満足していなかったということだけであり、タイミングが偶然ではないようだ」とMZMegaZoneはHacker Newsに書いた。彼は後にこう付け加えました。「CVE の存在が NGINX や Maxim に悪い影響を与えるべきではないと思います。彼がそのように感じているのは残念だが、私は彼に対して悪気はなく、彼の成功を真剣に祈っている」

Ars は F5 にコメントを求めており、新しい情報があればこの投稿を更新します。

ドゥーニン氏は電子メールで連絡を受け、説明を求めてメーリングリストへの返信を指摘した。同氏はさらに、「本質的に、F5はプロジェクトの方針と共同開発者の立場を何の議論もせずに無視した」と付け加えた。

MegaZone は Ars に次のように書簡を送った。理性的な人は反対するかもしれないし、私はマキシムがこの問題について独自の見解を持っていることを尊重し、彼やフォークに対して悪意を持っていない。こんなことにならなければ良かったのですが、彼の選択は尊重します。」