Laut Arstechnica hat Maxim Dounin, einer der Hauptentwickler, Nginx verlassen, da er der Ansicht ist, dass es kein Open-Source- und kostenloses Projekt mehr zum Nutzen der Community ist. Dounin gründete Freenginx und erklärte, dass es von Entwicklern und nicht von Unternehmen betrieben werden soll.
Dounin war einer der ersten und noch immer aktivsten Entwickler des Open-Source-Projekts Nginx und einer der ersten Mitarbeiter von Nginx Inc., einem 2011 gegründeten Unternehmen zur kommerziellen Unterstützung der Webserver-Software. Laut W3techs wird Nginx mittlerweile auf etwa einem Drittel aller Webserver weltweit eingesetzt, gefolgt von Apache.
Nginx Inc. wurde 2019 von der in Seattle ansässigen Firma F5 übernommen. Ende 2019 wurden jedoch zwei Führungskräfte von Nginx, Maxim Konovalov und Igor Sysoev, von russischen Agenten in ihren Wohnungen festgenommen und verhört. Das Internetunternehmen Rambler beanspruchte den Besitz des Nginx-Quellcodes, da dieser zu der Zeit entwickelt wurde, als Sysoev dort arbeitete (auch Dounin war dort tätig). Obwohl offenbar keine Anklage erhoben wurde, gibt die Tatsache, dass ein russisches Unternehmen einen beliebten Open-Source-Teil der Webinfrastruktur angezapft hat, Anlass zur Sorge.
Sysoev verließ F5 und das Nginx-Projekt Anfang 2022. Später im selben Jahr stellte F5 aufgrund der russischen Militärkampagne in der Ukraine alle Aktivitäten in diesem Land ein. Mehrere Nginx-Entwickler gründeten Angie, um Nginx-Nutzer in Russland zu unterstützen. Dounin verließ F5 ebenfalls zu diesem Zeitpunkt, blieb aber weiterhin ehrenamtlich im Nginx-Projekt tätig.
Nginx ist heute die Open-Source-Webserver-Software mit dem größten Marktanteil.
Dounin sagte, das neue nicht-technische Management von F5 sei kürzlich davon ausgegangen, dass sie wüssten, wie man Open-Source-Projekte betreibt. Insbesondere habe die Gruppe beschlossen, die Sicherheitsrichtlinien, die Nginx seit Jahren verwendete, zu manipulieren und die Entwickler zu umgehen. Er sagte, dies bedeute, dass er keine Kontrolle mehr über die Änderungen an Nginx habe und sich daher zum Rücktritt entschlossen habe.
Kommentare auf The Hacker News , darunter einer von einem mutmaßlichen F5-Mitarbeiter, zeigen, dass Dounin die Zuweisung veröffentlichter CVE-Schwachstellen an QUIC ablehnt. Obwohl QUIC in der Standardkonfiguration von Nginx nicht aktiviert ist, ist es laut Nginx-Dokumentation in der Hauptversion der Anwendung enthalten, enthält die neuesten Funktionen und Fehlerbehebungen und wird stets auf dem neuesten Stand gehalten.
Im Gespräch mit The Hacker News erklärte Dounin, das F5-Team habe sowohl die Projektrichtlinien als auch die Ansichten der Entwickler ohne Diskussion ignoriert. Zwar seien die konkreten Maßnahmen nicht unbedingt schlecht gewesen, doch der Gesamtansatz sei problematisch.
Laut Astechnica bedauerte F5 Dounins Weggang und fügte hinzu, dass erfolgreiche Open-Source-Projekte wie Nginx eine große und vielfältige Community sowie strenge Industriestandards für die Zuweisung und Bewertung bekannter Schwachstellen erfordern. Das Unternehmen ist überzeugt, dass dies der richtige Ansatz ist, um hochsichere Software für seine Kunden und die Community zu entwickeln.
[Anzeige_2]
Quellenlink
Kommentar (0)