Бесплатно Экспресс-аудит сайта:

18.02.2024

Раскол в Nginx: Разработчик недоволен «корпоративным вмешательством», создает свободный форк

Один из ключевых разработчиков Nginx , наиболее популярного веб-сервера в мире, объявил о своем уходе из проекта. Он заявил, что проект уже не воспринимается им как "свободный и открытый проект... на благо общественности". Максим Доунин, разработчик, создал форк под названием freenginx , который, по его словам, "будет управляться разработчиками, а не корпоративными структурами" и будет "свободен от произвольных корпоративных действий".

Доунин является одним из первых и наиболее активных участников проекта Nginx и был одним из первых сотрудников компании Nginx, Inc., созданной в 2011 году для коммерческой поддержки этого веб-сервера. В настоящее время Nginx используется примерно на трети веб-серверов мира, опережая Apache.

Nginx Inc. была приобретена компанией F5 , базирующейся в Сиэтле, в 2019 году. В том же году двое лидеров Nginx, Максим Коновалов и Игорь Сысоев, были задержаны и допрошены в своих домах в агентами ФСБ. Бывший работодатель Сысоева, интернет-компания Рамблер, утверждала, что владеет правами на исходный код Nginx, поскольку он был разработан во время работы Сысоева в Рамблере (где также работал Доунин). Хотя уголовные обвинения и права, по-видимому, не были реализованы, проникновение российской компании в популярный открытый исходный код веб-инфраструктуры вызвало некоторое беспокойство.

Сысоев покинул F5 и проект Nginx в начале 2022 года. Позже, в том же году, F5 прекратила все операции в России. Некоторые разработчики Nginx, оставшиеся в России, создали Angie , во многом для поддержки пользователей Nginx в России. Доунин технически также прекратил работу в F5, но продолжал участвовать в проекте Nginx "как волонтер", согласно его сообщению в списке рассылки.

Доунин в своем заявлении написал, что "новое нетехническое руководство" в F5 "недавно решило, что они лучше знают, как управлять проектами с открытым исходным кодом. В частности, они решили вмешаться в политику безопасности, которую Nginx использует годами, игнорируя как политику, так и мнение разработчиков". Хотя это было "вполне понятно" с точки зрения их владения, Доунин написал, что это означает, что он "больше не может контролировать, какие изменения вносятся в Nginx", что и стало причиной его ухода и создания форка.

В центре разногласий оказались CVE, связанные с багами в аспектах QUIC. Хотя QUIC не включен в наиболее распространенную настройку Nginx по умолчанию, он включен в "основную" версию приложения, которая, согласно документации Nginx, содержит "последние функции и исправления ошибок и всегда актуальна".

Доунин подробнее рассказал о действиях F5 в последующем письме:

Последний бюллетень безопасности был опубликован, несмотря на то что определённая ошибка в экспериментальной реализации HTTP/3 должна была рассматриваться и исправляться как стандартная проблема, в полном соответствии с действующими принципами безопасности, на что единогласно согласились все разработчики, включая меня.

И хотя это отдельное решение само по себе не критично, в общем контексте такая стратегия вызывает значительные опасения.

MZMegaZone , главный инженер по безопасности F5, подтвердил, что раскрытие информации о безопасности стало поворотным моментом для ухода Доунина. "Он был против нашего решения выделять CVE и не одобрил этот шаг, при этом совпадение времени выглядит неслучайным", - отметил MZMegaZone на платформе Hacker News. В дополнение, он выразил мнение: "Я убежден, что присвоение CVE не должно омрачать репутацию NGINX или Максима. Жаль, что он разделяет такую точку зрения, но я сохраняю к нему уважение и искренне желаю ему успехов".

Представитель F5 написал Ars следующее:

F5 стремится реализовывать успешные проекты с открытым исходным кодом, требующие большого и разнообразного сообщества участников, а также применять строгие отраслевые стандарты для определения и оценки выявленных уязвимостей. Мы считаем, что это правильный подход к разработке высокозащищенного программного обеспечения для наших клиентов и сообщества, и мы призываем сообщество открытого исходного кода присоединиться к нам в этих усилиях.