Anggota inti meninggalkan proyek Nginx karena masalah keamanan

Menurut Arstechnica , Maxim Dounin, salah satu pengembang inti, telah meninggalkan Nginx karena ia yakin bahwa Nginx bukan lagi proyek sumber terbuka dan gratis yang bermanfaat bagi komunitas. Dounin mendirikan Freenginx dan menyatakan bahwa Nginx akan dijalankan oleh para pengembang, bukan perusahaan.

Dounin adalah salah satu pengembang pertama dan paling aktif dalam proyek sumber terbuka Nginx, dan merupakan salah satu karyawan pertama Nginx Inc., sebuah perusahaan yang didirikan pada tahun 2011 untuk mendukung perangkat lunak server web tersebut secara komersial. Menurut W3techs , Nginx kini digunakan di sekitar sepertiga server web dunia , diikuti oleh Apache.

Nginx Inc. diakuisisi oleh F5 yang berbasis di Seattle pada tahun 2019. Namun, pada akhir 2019, dua eksekutif Nginx, Maxim Konovalov dan Igor Sysoev, ditahan dan diinterogasi oleh agen Rusia di rumah mereka. Perusahaan internet Rambler telah mengklaim kepemilikan kode sumber Nginx karena kode tersebut dikembangkan pada saat Sysoev bekerja di sana (Dounin juga bekerja di sana). Meskipun tuntutan pidana tampaknya belum ditegakkan, fakta bahwa sebuah perusahaan Rusia telah memanfaatkan bagian sumber terbuka yang populer dari infrastruktur web telah menimbulkan beberapa kekhawatiran.

Sysoev meninggalkan F5 dan proyek Nginx pada awal 2022. Di akhir tahun yang sama, karena kampanye militer Rusia di Ukraina, F5 menghentikan semua operasinya di negara tersebut. Beberapa pengembang Nginx membentuk Angie untuk mendukung pengguna Nginx di Rusia. Dounin juga meninggalkan F5 pada saat itu, tetapi tetap mempertahankan perannya di proyek Nginx sebagai sukarelawan.

Dounin mengatakan bahwa manajemen non-teknis baru di F5 baru-baru ini berasumsi bahwa mereka tahu cara menjalankan proyek sumber terbuka. Khususnya, kelompok tersebut memutuskan untuk mengubah kebijakan keamanan yang telah digunakan Nginx selama bertahun-tahun, melewati para pengembang. Ia mengatakan hal ini berarti ia tidak lagi memiliki kendali atas perubahan apa pun yang dilakukan pada Nginx, sehingga ia memutuskan untuk keluar.

Komentar di The Hacker News , termasuk komentar dari seorang karyawan yang diyakini berasal dari F5, menunjukkan bahwa Dounin keberatan dengan pengalihan kerentanan CVE yang dipublikasikan ke QUIC. Meskipun tidak diaktifkan dalam pengaturan bawaan Nginx, menurut dokumentasi Nginx, QUIC disertakan dalam versi utama aplikasi, berisi fitur-fitur terbaru dan perbaikan bug, serta selalu diperbarui.

Berbicara kepada The Hacker News , Dounin mengatakan tim F5 mengabaikan kebijakan proyek dan pandangan para pengembang umum tanpa berdiskusi. Meskipun tindakan spesifiknya tidak sepenuhnya buruk, pendekatan secara keseluruhan bermasalah.

Menurut Astechnica , F5 menyatakan penyesalannya atas kepergian Dounin, seraya menambahkan bahwa proyek sumber terbuka yang sukses seperti Nginx membutuhkan komunitas kontributor yang besar dan beragam serta standar industri yang ketat untuk menetapkan dan menilai kerentanan yang diketahui. Perusahaan yakin ini adalah pendekatan yang tepat untuk mengembangkan perangkat lunak yang sangat aman bagi pelanggan dan komunitasnya.