O desenvolvedor principal do Nginx inicia um fork “freenginx” após disputa com a empresa-mãe

Um desenvolvedor principal do Nginx, atualmente o servidor web mais popular do mundo, abandonou o projeto, afirmando que não o vê mais como “um projeto gratuito e de código aberto… para o bem público” . será administrado por desenvolvedores, e não por entidades corporativas”, escreve Maxim Dounin , e estará “livre de ações corporativas arbitrárias”.

Dounin é um dos primeiros e ainda mais ativos programadores no projeto de código aberto Nginx e um dos primeiros funcionários da Nginx, Inc., uma empresa criada em 2011 para oferecer suporte comercial ao servidor web em constante crescimento. O Nginx agora é usado em cerca de um terço dos servidores web do mundo, à frente do Apache.

Uma história complicada de criação e propriedade

foi adquirida pela empresa de redes F5, com sede em Seattle, em 2019. Mais tarde naquele ano, dois dos líderes da Nginx, Maxim Konavalov e Igor Sysoev, foram detidos e interrogados em suas casas por agentes estatais russos armados . O ex-empregador de Sysoev, a empresa de Internet Rambler , alegou que detinha os direitos do código-fonte do Nginx, uma vez que foi desenvolvido durante o mandato de Sysoev na Rambler (onde Dounin também trabalhou). Embora as acusações e direitos criminais não pareçam ter se materializado, as implicações da intrusão de uma empresa russa numa popular peça de código aberto da infra-estrutura da web causaram algum alarme.

Sysoev deixou a F5 e o projeto Nginx no início de 2022 . Mais tarde naquele ano, devido à invasão russa da Ucrânia, a F5 interrompeu todas as operações na Rússia . Alguns desenvolvedores Nginx ainda na Rússia formaram o Angie , desenvolvido em grande parte para oferecer suporte a usuários Nginx na Rússia. Dounin tecnicamente também parou de trabalhar para a F5 naquele momento, mas manteve seu papel no Nginx “como voluntário”, de acordo com a postagem na lista de e-mails de Dounin.

Dounin escreve em seu anúncio que “a nova gestão não técnica” da F5 “decidiu recentemente que sabe melhor como executar projetos de código aberto. Em particular, eles decidiram interferir na política de segurança usada pelo nginx durante anos, ignorando tanto a política quanto a posição dos desenvolvedores.”Embora fosse “bastante compreensível”, dada a sua propriedade, Dounin escreveu que isso significa que ele “não era mais capaz de controlar quais mudanças são feitas no nginx”, daí sua saída e bifurcação.

Os CVEs no centro da divisão

Comentários no Hacker News, incluindo um de um suposto funcionário da F5 , sugerem que Dounin se opôs à atribuição de CVEs (Vulnerabilidades e Exposições Comuns) publicadas a bugs em aspectos do QUIC . Embora o QUIC não esteja habilitado na configuração mais padrão do Nginx, ele está incluído na versão “principal” do aplicativo, que, de acordo com a documentação do Nginx , contém “os recursos e correções de bugs mais recentes e está sempre atualizado”.

O comentarista da F5, MZMegaZone, aparentemente o principal engenheiro de segurança da F5 , observa que “vários clientes/usuários têm o código em produção, experimental ou não”, e acrescenta que a F5 é uma Autoridade de Numeração CVE (CNA).

Dounin expandiu as ações da F5 em uma resposta posterior por e-mail .

O mais recente “aviso de segurança” foi lançado apesar do fato de que se espera que o bug específico no código HTTP/3 experimental seja corrigido como um bug normal de acordo com a política de segurança existente, e todos os desenvolvedores, inclusive eu, concordam com isso .

E, embora a ação específica não seja exatamente tão ruim, a abordagem em geral é bastante problemática.

Questionado sobre o potencial de confusão de nomes e questões de marcas registradas, Dounin escreveu em outra resposta sobre preocupações com marcas registradas: “Acredito que [eles] não se aplicam aqui, mas IANAL [não sou advogado]” e “o nome se alinha bem com o projeto metas.”

MZMegaZone confirmou a relação entre as divulgações de segurança e a saída de Dounin. “Tudo o que sei é que ele se opôs à nossa decisão de atribuir CVEs, não ficou satisfeito com o que fizemos e o momento não parece coincidência”, escreveu MZMegaZone no Hacker News. Mais tarde, ele acrescentou: “ Não acho que ter CVEs deva refletir mal no NGINX ou no Maxim. Lamento que ele se sinta assim, mas não tenho má vontade em relação a ele e desejo-lhe sucesso, sério.

Ars entrou em contato com F5 para comentar e atualizará esta postagem com qualquer nova informação.

Dounin, contatado por e-mail, apontou as respostas de sua lista de e-mails para esclarecimentos. Ele acrescentou: “Essencialmente, a F5 ignorou tanto a política do projeto quanto a posição dos desenvolvedores conjuntos, sem qualquer discussão”.

MegaZone escreveu para Ars, dizendo: “É uma situação infeliz, mas acho que fizemos a coisa certa para os usuários ao atribuir CVEs e seguir as práticas de divulgação pública. Pessoas racionais podem discordar e eu respeito que Maxim tenha sua própria opinião sobre o assunto e não tenha má vontade em relação a ele ou ao garfo. Eu gostaria que não tivesse chegado a esse ponto, mas respeito a escolha que cabe a ele.”