Розробник ключа Nginx починає форк «freenginx» після суперечки з материнською фірмою

Основний розробник Nginx, наразі найпопулярнішого веб-сервера у світі, залишив проект, заявивши, що більше не вважає його «безкоштовним проектом із відкритим кодом… для суспільного блага». Його форк, freenginx , «збирається керуватимуться розробниками, а не юридичними особами», – пише Максим Дунін , і будуть «вільні від свавільних корпоративних дій».

Дунін є одним із найперших і все ще найактивніших програмістів у проекті Nginx з відкритим кодом і одним із перших співробітників Nginx, Inc., компанії, створеної в 2011 році для комерційної підтримки веб-сервера, що постійно зростає. Зараз Nginx використовується приблизно на одній третині веб-серверів світу , випереджаючи Apache.

Складна історія створення та володіння

Nginx Inc. була придбана мережевою компанією F5 із Сіетла в 2019 році. Пізніше того ж року двоє керівників Nginx, Максим Коновалов та Ігор Сисоєв, були затримані та допитані в їхніх будинках озброєними російськими державними агентами . Колишній роботодавець Сисоєва, інтернет-компанія Rambler , стверджувала, що вона володіє правами на вихідний код Nginx, оскільки він був розроблений під час перебування Сисоєва в Rambler (де Дунін також працював). Хоча кримінальні звинувачення та права, здається, не матеріалізувалися, наслідки вторгнення російської компанії в популярну частину інфраструктури Інтернету з відкритим кодом викликали певну тривогу.

Сисоєв покинув F5 і проект Nginx на початку 2022 року . Пізніше того ж року, через російське вторгнення в Україну, F5 припинила всі операції в Росії . Деякі розробники Nginx, які все ще перебувають у Росії, створили Angie , розроблену здебільшого для підтримки користувачів Nginx у Росії. Технічно Дунін також припинив роботу в F5 на той момент, але зберіг свою роль у Nginx «як волонтер», згідно з повідомленням Дуніна в списку розсилки.

У своєму повідомленні Дунін пише, що «нове нетехнічне керівництво» F5 «нещодавно вирішило, що вони краще знають, як запускати проекти з відкритим кодом. Зокрема, вони вирішили втрутитися в політику безпеки, яку nginx використовує роками, ігноруючи як політику, так і позицію розробників». Хоча це було «цілком зрозуміло», враховуючи їхню власність, Дунін написав, що це означає, що він «більше не міг контролювати які зміни внесено в nginx», отже, його вихід і розгалуження.

CVE в центрі розколу

У коментарях у Hacker News, у тому числі ймовірного співробітника F5 , можна припустити, що Дунін виступав проти присвоєння опублікованих CVE (загальні вразливості та експозиції) помилкам у аспектах QUIC . Хоча QUIC не ввімкнено в налаштуваннях Nginx за замовчуванням, він включений у «основну» версію програми, яка, згідно з документацією Nginx , містить «найновіші функції та виправлення помилок і завжди оновлюється».

Коментатор із F5, MZMegaZone, здається, головний інженер безпеки у F5 , зазначає, що «декілька клієнтів/користувачів мають код у виробництві, експериментальний чи ні», і додає, що F5 є центром нумерації CVE (CNA).

Дунін розширив дії F5 у пізнішій відповіді поштою .

Остання «порада щодо безпеки» була опублікована незважаючи на те, що конкретну помилку в експериментальному коді HTTP/3, як очікується, буде виправлено як звичайну помилку відповідно до існуючої політики безпеки, і всі розробники, включаючи мене, погоджуються з цим. .

І хоча конкретна дія не дуже погана, підхід загалом досить проблематичний.

Відповідаючи на питання про потенційну плутанину в назві та проблеми з торговельною маркою, Дунін написав у іншій відповіді про проблеми з торговою маркою: «Я вважаю, що [вони] не застосовуються тут, але IANAL [я не юрист]», і «назва добре узгоджується з проектом цілі».

MZMegaZone підтвердив зв’язок між розкриттям безпеки та відходом Дуніна. «Все, що я знаю, це те, що він заперечував проти нашого рішення призначити CVE, був незадоволений тим, що ми це зробили, і час не виглядає випадковим», — написав MZMegaZone на Hacker News. Пізніше він додав: « Я не думаю, що наявність CVE має негативно вплинути на NGINX або Maxim. Мені шкода, що він відчуває те, що він відчуває, але я не маю до нього зла і бажаю йому успіху, серйозно».

Ars звернувся до F5 за коментарем і оновить цю публікацію будь-якою новою інформацією.

Доунін, до якого звернулися електронною поштою, вказав на відповіді зі свого списку розсилки для роз’яснення. Він додав: «По суті, F5 проігнорувала як політику проекту, так і позицію спільних розробників без жодного обговорення».

MegaZone написав Ars, сказавши: «Це неприємна ситуація, але я вважаю, що ми вчинили правильно для користувачів, призначаючи CVE та дотримуючись практики публічного розкриття інформації. Раціональні люди можуть не погоджуватися, і я поважаю Максима, який має власний погляд на це питання, і не ставлюся ні до нього, ні до форка. Я б хотів, щоб до цього не дійшло, але я поважаю вибір, який він зробив».