Новости Раскол в Nginx: Разработчик недоволен "корпоративным вмешательством", создает свободный форк

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Максим Доунин, один из создателей Nginx, покидает проект из-за разногласий с F5.


94cc7u631jtuqpvtftr7wd3mxkqorcf3.jpg


Один из ключевых разработчиков Nginx , наиболее популярного веб-сервера в мире, объявил о своем уходе из проекта. Он заявил, что проект уже не воспринимается им как "свободный и открытый проект... на благо общественности". Максим Доунин, разработчик, создал форк под названием Для просмотра ссылки Войди или Зарегистрируйся , который, по его словам, "будет управляться разработчиками, а не корпоративными структурами" и будет "свободен от произвольных корпоративных действий".

Доунин является одним из первых и наиболее активных участников проекта Nginx и был одним из первых сотрудников компании Nginx, Inc., созданной в 2011 году для коммерческой поддержки этого веб-сервера. В настоящее время Nginx используется примерно на трети веб-серверов мира, опережая Apache.

Nginx Inc. была приобретена компанией F5 , базирующейся в Сиэтле, в 2019 году. В том же году двое лидеров Nginx, Максим Коновалов и Игорь Сысоев, были Для просмотра ссылки Войди или Зарегистрируйся в своих домах в агентами ФСБ. Бывший работодатель Сысоева, интернет-компания Рамблер, утверждала, что владеет правами на исходный код Nginx, поскольку он был разработан во время работы Сысоева в Рамблере (где также работал Доунин). Хотя уголовные обвинения и права, по-видимому, не были реализованы, проникновение российской компании в популярный открытый исходный код веб-инфраструктуры вызвало некоторое беспокойство.

Сысоев покинул F5 и проект Nginx в начале 2022 года. Позже, в том же году, F5 прекратила все операции в России. Некоторые разработчики Nginx, оставшиеся в России, Для просмотра ссылки Войди или Зарегистрируйся , во многом для поддержки пользователей Nginx в России. Доунин технически также прекратил работу в F5, но продолжал участвовать в проекте Nginx "как волонтер", согласно его сообщению в списке рассылки.

Доунин в своем заявлении написал, что "новое нетехническое руководство" в F5 "недавно решило, что они лучше знают, как управлять проектами с открытым исходным кодом. В частности, они решили вмешаться в политику безопасности, которую Nginx использует годами, игнорируя как политику, так и мнение разработчиков". Хотя это было "вполне понятно" с точки зрения их владения, Доунин написал, что это означает, что он "больше не может контролировать, какие изменения вносятся в Nginx", что и стало причиной его ухода и создания форка.

В центре разногласий оказались CVE, связанные с багами в аспектах QUIC. Хотя QUIC не включен в наиболее распространенную настройку Nginx по умолчанию, он включен в "основную" версию приложения, которая, согласно документации Nginx, содержит "последние функции и исправления ошибок и всегда актуальна".

<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Доунин Для просмотра ссылки Войди или Зарегистрируйся о действиях F5 в последующем письме:</span>

Последний бюллетень безопасности был опубликован, несмотря на то что определённая ошибка в экспериментальной реализации HTTP/3 должна была рассматриваться и исправляться как стандартная проблема, в полном соответствии с действующими принципами безопасности, на что единогласно согласились все разработчики, включая меня.

И хотя это отдельное решение само по себе не критично, в общем контексте такая стратегия вызывает значительные опасения.

Для просмотра ссылки Войди или Зарегистрируйся , главный инженер по безопасности F5, подтвердил, что раскрытие информации о безопасности стало поворотным моментом для ухода Доунина. "Он был против нашего решения выделять CVE и не одобрил этот шаг, при этом совпадение времени выглядит неслучайным", - Для просмотра ссылки Войди или Зарегистрируйся на платформе Hacker News. В дополнение, он выразил мнение: "Я убежден, что присвоение CVE не должно омрачать репутацию NGINX или Максима. Жаль, что он разделяет такую точку зрения, но я сохраняю к нему уважение и искренне желаю ему успехов".

Представитель F5 написал Ars следующее:

<blockquote> F5 стремится реализовывать успешные проекты с открытым исходным кодом, требующие большого и разнообразного сообщества участников, а также применять строгие отраслевые стандарты для определения и оценки выявленных уязвимостей. Мы считаем, что это правильный подход к разработке высокозащищенного программного обеспечения для наших клиентов и сообщества, и мы призываем сообщество открытого исходного кода присоединиться к нам в этих усилиях.

</blockquote>
 
Источник новости
www.securitylab.ru

Похожие темы