Nginx 핵심 개발자, 모회사와 분쟁 후 ‘freenginx’ 포크 시작

현재 세계에서 가장 인기 있는 웹 서버인 Nginx의 핵심 개발자는 더 이상 이 프로젝트를 “공익을 위한 무료 오픈 소스 프로젝트”로 보지 않는다고 말하면서 프로젝트를 그만뒀습니다. 그의 포크인 freenginx 는 ” Maxim Dounin은 “회사가 아닌 개발자가 운영하며 임의적인 기업 활동에서 자유로울 것”이라고 말했습니다.

Dounin은 오픈 소스 Nginx 프로젝트에서 가장 초기이자 여전히 가장 활동적인 코더 중 한 명이며 꾸준히 성장하는 웹 서버를 상업적으로 지원하기 위해 2011년에 설립된 회사인 Nginx, Inc.의 첫 번째 직원 중 한 명입니다. Nginx는 현재 Apache보다 앞서 전 세계 웹 서버의 약 1/3 에서 사용되고 있습니다.

창조와 소유권의 까다로운 역사

Nginx Inc.는 2019년 시애틀에 본사를 둔 네트워킹 회사 F5에 인수되었습니다. 그해 말 Nginx의 리더인 Maxim Konavalov와 Igor Sysoev는 무장한 러시아 국가 요원에 의해 집에서 구금되어 심문을 받았습니다 . Sysoev의 전 고용주이자 인터넷 회사인 Rambler는 Sysoev가 Rambler(Dounin도 근무했던 곳)에서 재직하는 동안 개발된 Nginx의 소스 코드에 대한 권리를 소유하고 있다고 주장했습니다. 형사 고발과 권리가 실현된 것으로 보이지는 않지만, 한 러시아 회사가 웹 인프라의 인기 있는 오픈 소스 부분에 침입했다는 암시는 약간의 경종을 불러일으켰습니다.

Sysoev는 2022년 초에 F5와 Nginx 프로젝트를 떠났습니다 . 그해 말, 러시아의 우크라이나 침공으로 인해 F5는 러시아에서의 모든 작전을 중단했습니다 . 아직 러시아에 있는 일부 Nginx 개발자는 러시아의 Nginx 사용자를 지원하기 위해 주로 개발된 Angie를 설립했습니다 . Dounin의 메일링 리스트 게시물에 따르면 Dounin은 기술적으로 그 시점에서 F5에서의 작업을 중단했지만 Nginx에서 “자원 봉사자”로서의 역할을 유지했습니다.

Dounin은 F5의 “새로운 비기술적 관리”가 “최근 오픈 소스 프로젝트를 실행하는 방법을 더 잘 알고 있다고 결정했습니다.”라고 발표했습니다. 특히 그들은 정책과 개발자의 입장을 모두 무시하고 nginx가 수년간 사용하는 보안 정책을 간섭하기로 결정했습니다.” Dounin은 그들의 소유권을 고려하면 “상당히 이해할 수 있는 일”이었지만 이는 “더 이상 통제할 수 없다는 의미”라고 썼습니다. nginx에서 어떤 변경이 이루어졌는지,”따라서 그의 출발과 포크.

분할의 중심에 있는 CVE

F5 직원으로 알려진 사람의 의견을 포함하여 Hacker News에 대한 의견은 Dounin이 QUIC 측면에서 게시된 CVE (Common Vulnerability and Exposures)를 버그에 할당하는 것에 반대했음을 시사합니다 . QUIC는 대부분의 기본 Nginx 설정에서는 활성화되어 있지 않지만 Nginx 문서 에 따르면 “최신 기능과 버그 수정이 포함되어 있으며 항상 최신 상태”인 애플리케이션의 “메인라인” 버전에 포함되어 있습니다.

F5의 수석 보안 엔지니어인 것으로 보이는 F5의 논평자 MZMegaZone은 “많은 고객/사용자가 실험적이든 아니든 프로덕션 단계의 코드를 보유하고 있습니다”라고 언급하고 F5가 CNA(CVE Numbering Authority)라고 덧붙였습니다.

Dounin은 이후 메일 응답 에서 F5의 작업을 확장했습니다 .

실험적인 HTTP/3 코드의 특정 버그는 기존 보안 정책에 따라 정상적인 버그로 수정될 것으로 예상됨에도 불구하고 가장 최근의 “보안 권고”가 발표되었으며, 저를 포함한 모든 개발자는 이에 동의합니다. .

그리고 특정 조치가 그다지 나쁘지는 않지만 일반적인 접근 방식은 상당히 문제가 있습니다.

이름 혼동 및 상표 문제의 가능성에 대한 질문에 Dounin은 상표 문제에 대한 또 다른 답변 에서 다음과 같이 썼습니다 . “[그들은] 여기에 적용되지 않는다고 생각하지만 IANAL [나는 변호사가 아닙니다]”, “이름은 프로젝트와 잘 일치합니다. 목표.”

MZMegaZone은 보안 공개와 Dounin의 이탈 사이의 관계를 확인했습니다. MZMegaZone은 Hacker News에 “내가 아는 것은 그가 CVE를 할당하기로 한 우리의 결정에 반대하고 우리가 그렇게 한 것을 좋아하지 않았으며 시기가 우연이 아닌 것 같다는 것”이라고 썼습니다. 그는 나중에 이렇게 덧붙였습니다. “ CVE가 NGINX나 Maxim에 나쁜 영향을 미칠 것이라고는 생각하지 않습니다. 그 사람이 그런 식으로 생각해서 안타깝지만 나는 그 사람에 대해 악의를 갖고 있지 않으며 그가 성공하기를 진심으로 기원합니다.”

Ars는 의견을 얻기 위해 F5에 연락했으며 새로운 정보로 이 게시물을 업데이트할 것입니다.

이메일로 연락한 Dounin은 설명을 위해 자신의 메일링 리스트 응답을 지적했습니다. 그는 “본질적으로 F5는 어떠한 논의도 없이 프로젝트 정책과 공동개발자의 입장을 모두 무시한 것”이라고 덧붙였다.

MegaZone은 Ars에 “안타까운 상황이지만 CVE를 할당하고 공개 관행을 따르는 것은 사용자를 위해 옳은 일을 했다고 생각합니다. 합리적인 사람들은 동의하지 않을 수 있으며 저는 Maxim이 문제에 대해 자신만의 견해를 갖고 있음을 존중하며 그나 포크에 대해 악의를 품지 않습니다. 이런 일이 일어나지 않았으면 좋겠지만 그의 선택을 존중합니다.”