Основной разработчик Nginx, самого популярного в настоящее время веб-сервера в мире, вышел из проекта, заявив, что он больше не рассматривает его как «свободный проект с открытым исходным кодом… для общественного блага». Его форк, freenginx , «собирается будет управляться разработчиками, а не юридическими лицами», — пишет Максим Дунин , и будет «свободным от произвольных корпоративных действий».
Дунин — один из первых и до сих пор наиболее активных программистов проекта Nginx с открытым исходным кодом и один из первых сотрудников Nginx, Inc., компании, созданной в 2011 году для коммерческой поддержки постоянно растущего веб-сервера. Nginx сейчас используется примерно на трети веб-серверов в мире , опережая Apache.
Непростая история создания и владения
Nginx Inc. была приобретена сетевой фирмой F5 из Сиэтла в 2019 году. Позже в том же году двое лидеров Nginx, Максим Конавалов и Игорь Сысоев, были задержаны и допрошены в своих домах вооруженными российскими государственными агентами . Бывший работодатель Сысоева, интернет-компания Rambler , утверждал, что ей принадлежат права на исходный код Nginx, поскольку он был разработан во время работы Сысоева в Rambler (где также работал Дунин). Хотя уголовные обвинения и права, похоже, не материализовались, последствия вторжения российской компании в популярную часть сетевой инфраструктуры с открытым исходным кодом вызвали некоторую тревогу.
Сысоев покинул F5 и проект Nginx в начале 2022 года . Позже в том же году из-за вторжения России в Украину F5 прекратила всю деятельность в России . Некоторые разработчики Nginx, все еще находящиеся в России, сформировали Angie , разработанную в значительной степени для поддержки пользователей Nginx в России. Технически Дунин в этот момент тоже перестал работать в F5, но сохранил свою роль в Nginx «в качестве волонтера», согласно сообщению Дунина в списке рассылки.
Дунин пишет в своем заявлении, что «новое нетехническое руководство» в F5 «недавно решило, что они лучше знают, как запускать проекты с открытым исходным кодом. В частности, они решили вмешаться в политику безопасности, которую nginx использует в течение многих лет, игнорируя как политику, так и позицию разработчиков». Хотя это было «вполне понятно», учитывая их право собственности, Дунин написал, что это означает, что он «больше не может контролировать какие изменения вносятся в nginx», отсюда и его уход и форк.
CVE в центре раскола
Комментарии на Hacker News, в том числе комментарий предполагаемого сотрудника F5 , предполагают, что Дунин выступает против присвоения опубликованных CVE (общих уязвимостей и уязвимостей) ошибкам в аспектах QUIC . Хотя QUIC не включен в большинстве настроек Nginx по умолчанию, он включен в «основную» версию приложения, которая, согласно документации Nginx , содержит «последние функции и исправления ошибок и всегда актуальна».
Комментатор из F5, MZMegaZone, по-видимому, главный инженер по безопасности в F5 , отмечает, что «у ряда клиентов/пользователей есть код в производстве, экспериментальный или нет», и добавляет, что F5 — это центр нумерации CVE (CNA).
Дунин подробно рассказал о действиях F5 в более позднем ответе по почте .
Самая последняя «рекомендация по безопасности» была выпущена несмотря на то, что конкретная ошибка в экспериментальном коде HTTP/3, как ожидается, будет исправлена как обычная ошибка в соответствии с существующей политикой безопасности, и все разработчики, включая меня, согласны с этим. .
И хотя конкретное действие не так уж и плохо, подход в целом весьма проблематичен.
Отвечая на вопрос о возможности путаницы в названиях и проблемах с товарными знаками, Дунин в другом ответе написал о проблемах с товарными знаками: «Я считаю, что [они] здесь не применимы, но IANAL [я не юрист]» и «название хорошо согласуется с проектом». цели.»
MZMegaZone подтвердила связь между раскрытием информации о безопасности и уходом Дунина. «Все, что я знаю, это то, что он возражал против нашего решения назначить CVE, был недоволен тем, что мы это сделали, и время не кажется случайным», — написал MZMegaZone на Hacker News. Позже он добавил: « Я не думаю, что наличие CVE должно плохо отразиться на NGINX или Maxim. Мне жаль, что он чувствует то же самое, но я не испытываю к нему неприязни и желаю ему успеха, серьезно».
Ars обратился к F5 за комментариями и будет обновлять этот пост любой новой информацией.
Дунин, с которым связались по электронной почте, указал на ответы в своем списке рассылки для разъяснений. Он добавил: «По сути, F5 проигнорировала как политику проекта, так и позицию совместных разработчиков, без какого-либо обсуждения».
MegaZone написала Ars: «Это досадная ситуация, но я думаю, что мы поступили правильно по отношению к пользователям, назначив CVE и следуя практике публичного раскрытия информации. Разумные люди могут не соглашаться, и я уважаю, что у Максима есть своя точка зрения на этот вопрос, и он не держит неприязни ни к нему, ни к вилке. Мне бы хотелось, чтобы до этого не дошло, но я уважаю выбор, который он сделал».