สมาชิกหลักออกจากโครงการ Nginx เนื่องด้วยปัญหาความปลอดภัย

ตามรายงานของ Arstechnica Maxim Dounin หนึ่งในนักพัฒนาหลักได้ลาออกจาก Nginx เพราะเขาเชื่อว่า Nginx ไม่ใช่โครงการโอเพ่นซอร์สและฟรีเพื่อประโยชน์ของชุมชนอีกต่อไป Dounin ก่อตั้ง freenginx และกล่าวว่า Nginx จะดำเนินการโดยนักพัฒนา ไม่ใช่โดยองค์กร

Dounin เป็นหนึ่งในนักพัฒนาซอฟต์แวร์โอเพ่นซอร์ส Nginx คนแรกๆ และยังคงทำงานอยู่มากที่สุด และเป็นหนึ่งในพนักงานคนแรกๆ ของ Nginx Inc. ซึ่งเป็นบริษัทที่ก่อตั้งขึ้นในปี 2011 เพื่อสนับสนุนซอฟต์แวร์เซิร์ฟเวอร์เว็บเชิงพาณิชย์ ตามรายงานของ W3techs ปัจจุบัน Nginx ถูกใช้ในเซิร์ฟเวอร์เว็บประมาณหนึ่งในสามของโลก รองลงมาคือ Apache

Nginx Inc. ถูกซื้อกิจการโดย F5 ซึ่งตั้งอยู่ในซีแอตเทิลในปี 2019 อย่างไรก็ตาม ในช่วงปลายปี 2019 เจ้าหน้าที่รัสเซียได้ควบคุมตัวและสอบปากคำผู้บริหารสองคนของ Nginx ได้แก่ Maxim Konovalov และ Igor Sysoev ที่บ้านของพวกเขา บริษัทอินเทอร์เน็ต Rambler อ้างว่าเป็นเจ้าของซอร์สโค้ดของ Nginx เนื่องจากได้รับการพัฒนาในช่วงเวลาที่ Sysoev ทำงานที่นั่น (Dounin ก็ทำงานที่นั่นเช่นกัน) แม้ว่าจะยังไม่มีการฟ้องร้องทางอาญาเกิดขึ้น แต่ข้อเท็จจริงที่ว่าบริษัทของรัสเซียได้ใช้ประโยชน์จากส่วนโอเพนซอร์สที่ได้รับความนิยมในโครงสร้างพื้นฐานของเว็บได้ทำให้เกิดความกังวลบางประการ

Sysoev ออกจาก F5 และโครงการ Nginx ในช่วงต้นปี 2022 ในช่วงปลายปีนั้น เนื่องมาจากการรณรงค์ ทางทหาร ของรัสเซียในยูเครน F5 จึงยุติการดำเนินงานทั้งหมดในประเทศนั้น นักพัฒนา Nginx หลายคนได้จัดตั้ง Angie ขึ้นเพื่อสนับสนุนผู้ใช้ Nginx ในรัสเซีย Dounin ก็ออกจาก F5 เช่นกันในช่วงเวลานั้น แต่ยังคงทำหน้าที่ในโครงการ Nginx ในฐานะอาสาสมัคร

Thành viên cốt lõi rời dự án Nginx vì quan điểm bảo mật- Ảnh 1. — Nginx คือซอฟต์แวร์เซิร์ฟเวอร์เว็บโอเพ่นซอร์สที่มีส่วนแบ่งการตลาดมากที่สุดในปัจจุบัน

Dounin กล่าวว่าผู้บริหารที่ไม่เชี่ยวชาญด้านเทคนิคของ F5 ถือว่าพวกเขารู้วิธีดำเนินโครงการโอเพนซอร์สเมื่อไม่นานนี้ โดยเฉพาะอย่างยิ่ง กลุ่มดังกล่าวตัดสินใจที่จะแทรกแซงนโยบายความปลอดภัยที่ Nginx ใช้มาหลายปีโดยเลี่ยงนักพัฒนา เขาบอกว่านั่นหมายถึงเขาไม่สามารถควบคุมการเปลี่ยนแปลงที่เกิดขึ้นกับ Nginx ได้อีกต่อไป ดังนั้นเขาจึงตัดสินใจลาออก

ความคิดเห็นใน The Hacker News ซึ่งรวมถึงความคิดเห็นจากพนักงานที่เชื่อว่ามาจาก F5 แสดงให้เห็นว่า Dounin คัดค้านการกำหนดช่องโหว่ CVE ที่เผยแพร่ให้กับ QUIC แม้ว่าจะไม่ได้เปิดใช้งานในการตั้งค่าเริ่มต้นของ Nginx แต่ตามเอกสารของ Nginx QUIC จะรวมอยู่ในเวอร์ชันหลักของแอปพลิเคชัน มีคุณลักษณะล่าสุดและการแก้ไขข้อบกพร่อง และจะได้รับการอัปเดตอยู่เสมอ

Dounin ให้สัมภาษณ์กับ The Hacker News ว่าทีมงาน F5 ไม่สนใจทั้งนโยบายโครงการและความคิดเห็นของนักพัฒนาทั่วไปโดยไม่หารือกัน แม้ว่าการดำเนินการเฉพาะเจาะจงจะไม่ใช่เรื่องแย่ แต่แนวทางโดยรวมกลับมีปัญหา

ตามรายงานของ Astechnica บริษัท F5 กล่าวว่ารู้สึกเสียใจต่อการจากไปของ Dounin และเสริมว่าโครงการโอเพ่นซอร์สที่ประสบความสำเร็จ เช่น Nginx จำเป็นต้องมีชุมชนผู้สนับสนุนจำนวนมากและหลากหลาย รวมถึงมาตรฐานอุตสาหกรรมที่เข้มงวดในการกำหนดและให้คะแนนช่องโหว่ที่ทราบ บริษัทเชื่อว่านี่คือแนวทางที่ถูกต้องในการพัฒนาซอฟต์แวร์ที่มีความปลอดภัยสูงสำหรับลูกค้าและชุมชน

ลิงค์ที่มา