El desarrollador principal de Nginx abandona el proyecto por disputa de seguridad e inicia la bifurcación “freenginx”

Un desarrollador principal de Nginx, actualmente el servidor web más popular del mundo, abandonó el proyecto, afirmando que ya no lo ve como “un proyecto gratuito y de código abierto… para el bien público”. Su tenedor, freenginx“será dirigido por desarrolladores y no por entidades corporativas”. escribe Maxim Douniny estará “libre de acciones corporativas arbitrarias”.

Dounin es uno de los primeros y todavía los codificadores más activos en el proyecto de código abierto Nginx y uno de los primeros empleados de Nginx, Inc., una empresa creada en 2011 para respaldar comercialmente el servidor web en constante crecimiento. Nginx ahora se usa aproximadamente un tercio d el mundo

servidores web, por delante de Apache.

Una complicada historia de creación y propiedad.

Nginx Inc. fue adquirida por la empresa de redes F5, con sede en Seattle, en 2019. Más tarde ese año, dos de los líderes de Nginx, Maxim Konovalov e Igor Sysoev, fueron detenidos e interrogados en sus hogares por agentes estatales rusos armados. Ex empleador de Sysoev, empresa de Internet Excursionista

, afirmó que poseía los derechos del código fuente de Nginx, tal como fue desarrollado durante el mandato de Sysoev en Rambler (donde también trabajaba Dounin). Si bien los cargos criminales y los derechos no parecen haberse materializado, las implicaciones de la intrusión de una empresa rusa en una popular pieza de código abierto de la infraestructura de la web causaron cierta alarma.

Sysoev dejó F5 y el proyecto Nginx a principios de 2022. Más tarde ese año, debido a la invasión rusa de Ucrania, F5 descontinuó todas las operaciones en Rusia. Algunos desarrolladores de Nginx todavía están en Rusia formó angie, desarrollado en gran parte para soportar a los usuarios de Nginx en Rusia. Dounin técnicamente también dejó de trabajar para F5 en ese momento, pero mantuvo su papel en Nginx “como voluntario”, según la publicación de la lista de correo de Dounin.

Dounin escribe en su anuncio que “la nueva dirección no técnica” de F5 “decidió recientemente que saben mejor cómo ejecutar proyectos de código abierto. En particular, decidieron interferir con la política de seguridad que nginx utiliza durante años, ignorando tanto la política como a los desarrolladores”. ‘ posición.” Si bien era “bastante comprensible”, dada su propiedad, Dounin escribió que significa que “ya no podía controlar qué cambios se realizan en nginx”, de ahí su salida y su bifurcación.

Los CVE en el centro de la división

Comentarios sobre Hacker News, incluidos uno de un supuesto empleado de F5sugieren que Dounin se opuso a la asignación de CVE publicados (Vulnerabilidades y exposiciones comunes) a errores en aspectos de OMS. Si bien QUIC no está habilitado en la configuración más predeterminada de Nginx, se incluye en la versión “principal” de la aplicación, que, según Nginx documentacióncontiene “las últimas funciones y correcciones de errores y siempre está actualizado”.

El comentarista de F5, MZMegaZone, aparentemente el ingeniero principal de seguridad en F5señala que “varios clientes/usuarios tienen el código en producción, experimental o no” y agrega que F5 es una Autoridad de Numeración CVE (CNA).

Dounin amplió las acciones de F5 en una respuesta de correo posterior.

El “aviso de seguridad” más reciente se publicó a pesar de que se espera que el error particular en el código HTTP/3 experimental se solucione como un error normal según la política de seguridad existente, y todos los desarrolladores, incluido yo, estamos de acuerdo en esto. .

Y, si bien la acción en particular no es exactamente muy mala, el enfoque en general es bastante problemático.

Cuando se le preguntó sobre la posibilidad de confusión de nombres y problemas de marcas, Dounin escribió en otra respuesta sobre preocupaciones sobre marcas registradas: “Creo [they] No aplica aquí, sino IANAL. [I am not a lawyer]” y “el nombre se alinea bien con los objetivos del proyecto”.

MZMegaZone confirmó la relación entre las divulgaciones de seguridad y la salida de Dounin. “Todo lo que sé es que se opuso a nuestra decisión de asignar CVE, no estaba contento de que lo hiciéramos y el momento no parece una coincidencia”, escribió MZMegaZone en Hacker News. Más tarde añadió: “No creo que tener CVE deba reflejar mal a NGINX o Maxim. Lamento que se sienta así, pero no le tengo rencor y le deseo éxito, en serio”.

Dounin, contactado por correo electrónico, señaló las respuestas de su lista de correo para obtener aclaraciones. Y añadió: “Esencialmente, F5 ignoró tanto la política del proyecto como la posición de los desarrolladores conjuntos, sin ninguna discusión”.

MegaZone le escribió a Ars (señalando que solo hablaba por sí mismo y no por F5), afirmando: “Es una situación desafortunada, pero creo que hicimos lo correcto para los usuarios al asignar CVE y seguir prácticas de divulgación pública. Las personas racionales pueden no estar de acuerdo y Respeto que Maxim tenga su propia opinión sobre el asunto y no tengo ningún rencor hacia él o hacia el tenedor. Desearía que no hubiera llegado a esto, pero respeto que la elección fuera suya”.

Un representante de F5 le escribió a Ars que:

F5 se compromete a ofrecer proyectos exitosos de código abierto que requieran una comunidad grande y diversa de contribuyentes, así como a aplicar estándares industriales rigurosos para asignar y calificar las vulnerabilidades identificadas. Creemos que este es el enfoque correcto para desarrollar software altamente seguro para nuestros clientes y la comunidad, y alentamos a la comunidad de código abierto a unirse a nosotros en este esfuerzo.

Esta publicación se actualizó a las 8:15 pm ET del 15 de febrero para incluir una declaración de F5.