Getty Images Un desarrollador principal de Nginx, actualmente el servidor web más popular del mundo, abandonó el proyecto, afirmando que ya no lo ve como «un proyecto gratuito y de código abierto… para el bien público». Su bifurcación, freenginx, «será administrada por desarrolladores y no por entidades corporativas», escribe Maxim Dounin, y estará «libre de acciones corporativas arbitrarias». Dounin es uno de los primeros y aún más activos codificadores del proyecto de código abierto Nginx y uno de los primeros empleados de Nginx, Inc., una empresa creada en 2011 para respaldar comercialmente el servidor web en constante crecimiento. Nginx se utiliza ahora en aproximadamente un tercio de los servidores web del mundo, por delante de Apache. Una complicada historia de creación y propiedad Nginx Inc. fue adquirida por la firma de redes F5, con sede en Seattle, en 2019. Más tarde ese año, dos de los líderes de Nginx, Maxim Konovalov e Igor Sysoev, fueron detenidos e interrogados en sus hogares por agentes estatales rusos armados. El antiguo empleador de Sysoev, la empresa de Internet Rambler, afirmó que poseía los derechos del código fuente de Nginx, tal como fue desarrollado durante el mandato de Sysoev en Rambler (donde también trabajaba Dounin). Si bien los cargos criminales y los derechos no parecen haberse materializado, las implicaciones de la intrusión de una empresa rusa en una popular pieza de código abierto de la infraestructura de la web causaron cierta alarma. Sysoev abandonó F5 y el proyecto Nginx a principios de 2022. Más tarde ese año, debido a la invasión rusa de Ucrania, F5 interrumpió todas las operaciones en Rusia. Algunos desarrolladores de Nginx que aún se encuentran en Rusia formaron Angie, desarrollada en gran parte para apoyar a los usuarios de Nginx en Rusia. Dounin técnicamente también dejó de trabajar para F5 en ese momento, pero mantuvo su papel en Nginx «como voluntario», según la publicación de la lista de correo de Dounin. Dounin escribe en su anuncio que «la nueva dirección no técnica» de F5 «decidió recientemente que saben mejor cómo ejecutar proyectos de código abierto. En particular, decidieron interferir con la política de seguridad que nginx utiliza durante años, ignorando tanto la política como a los desarrolladores». ‘ posición.» Si bien era «bastante comprensible», dada su propiedad, Dounin escribió que significa que «ya no podía controlar qué cambios se realizan en nginx», de ahí su salida y su bifurcación. Los CVE en el centro de los comentarios divididos en Hacker News, incluido uno de un supuesto empleado de F5, sugieren que Dounin se opuso a la asignación de CVE (vulnerabilidades y exposiciones comunes) publicadas a errores en aspectos de QUIC. Si bien QUIC no está habilitado en la configuración más predeterminada de Nginx, se incluye en la versión «principal» de la aplicación, que, según la documentación de Nginx, contiene «las últimas funciones y correcciones de errores y siempre está actualizada». El comentarista de F5, MZMegaZone, aparentemente el ingeniero de seguridad principal de F5, señala que «varios clientes/usuarios tienen el código en producción, experimental o no» y agrega que F5 es una Autoridad de Numeración CVE (CNA). Dounin amplió las acciones de F5 en una respuesta por correo posterior. El «aviso de seguridad» más reciente se publicó a pesar de que se espera que el error particular en el código HTTP/3 experimental se solucione como un error normal según la política de seguridad existente, y todos los desarrolladores, incluido yo, estamos de acuerdo en esto. . Y, si bien la acción en particular no es exactamente muy mala, el enfoque en general es bastante problemático. Cuando se le preguntó sobre la posibilidad de confusión de nombres y problemas de marcas, Dounin escribió en otra respuesta sobre preocupaciones sobre marcas: «Creo [they] No aplica aquí, sino IANAL. [I am not a lawyer]» y «el nombre se alinea bien con los objetivos del proyecto». MZMegaZone confirmó la relación entre las divulgaciones de seguridad y la partida de Dounin. «Todo lo que sé es que se opuso a nuestra decisión de asignar CVE, no estaba contento con lo que hicimos y el momento no coincide. Parece una coincidencia», escribió MZMegaZone en Hacker News. Luego agregó: «No creo que tener CVE deba reflejar mal a NGINX o Maxim. Lamento que se sienta así, pero no le tengo mala voluntad y le deseo éxito, en serio». Dounin, contactado por correo electrónico, señaló las respuestas de su lista de correo para obtener aclaraciones. Y añadió: «Esencialmente, F5 ignoró tanto la política del proyecto como la posición de los desarrolladores conjuntos, sin ninguna discusión». MegaZone le escribió a Ars (señalando que solo hablaba por sí mismo y no por F5), afirmando: «Es una situación desafortunada, pero creo que hicimos lo correcto para el usuarios a la hora de asignar CVE y seguir prácticas de divulgación pública. Las personas racionales pueden no estar de acuerdo y respeto que Maxim tenga su propia opinión sobre el asunto y no tenga rencor hacia él ni hacia el tenedor. Desearía que no hubiera llegado a esto, pero respeto que la elección fuera suya.» Un representante de F5 escribió a Ars que: F5 está comprometido a entregar proyectos exitosos de código abierto que requieren una comunidad grande y diversa de contribuyentes, así como Además de aplicar rigurosos estándares de la industria para asignar y calificar las vulnerabilidades identificadas. Creemos que este es el enfoque correcto para desarrollar software altamente seguro para nuestros clientes y la comunidad, y alentamos a la comunidad de código abierto a unirse a nosotros en este esfuerzo. Esta publicación se actualizó en 8 :15 pm ET del 15 de febrero para incluir una declaración de F5.

Source link