目前世界上最受欢迎的网络服务器Nginx的一位核心开发者退出了该项目,称他不再认为它是“一个免费的开源项目……为了公共利益”。他的分支软件freenginx“将由开发者运营,而不是企业实体,”马克西姆·杜宁写道,并且将“不受任意企业行为的影响”。
downin是开源Nginx项目中最早也是最活跃的程序员之一,也是Nginx公司的首批员工之一,Nginx公司成立于2011年,旨在为稳步增长的web服务器提供商业支持。Nginx目前在全球大约三分之一的网络服务器上使用,领先于Apache。
Nginx公司于2019年被总部位于西雅图的网络公司F5收购。那年晚些时候,Nginx的两名领导人马克西姆·科诺瓦洛夫(Maxim Konovalov)和伊戈尔·西索夫(Igor Sysoev)在家中被武装的俄罗斯国家特工拘留和审讯。Sysoev的前雇主,互联网公司Rambler,声称它拥有Nginx源代码的权利,因为它是在Sysoev在Rambler任职期间开发的(dunin也在那里工作)。虽然刑事指控和权利似乎还没有实现,但一家俄罗斯公司入侵一个流行的开源网络基础设施的影响引起了一些警觉。
Sysoev在2022年初离开了F5和Nginx项目。同年晚些时候,由于俄罗斯入侵乌克兰,F5停止了在俄罗斯的所有业务。一些仍在俄罗斯的Nginx开发者成立了Angie,主要是为了支持俄罗斯的Nginx用户。从技术上讲,从那时起,Dounin也停止了为F5工作,但根据Dounin的邮件列表帖子,他在Nginx中的角色仍然是“志愿者”。
Dounin在他的声明中写道,F5的“新的非技术管理人员”“最近决定,他们知道如何更好地运行开源项目”。特别是,他们决定干涉nginx多年来使用的安全政策,无视政策和开发者的立场。”虽然考虑到nginx的所有权,这是“完全可以理解的”,但杜宁写道,这意味着他“不再能够控制在nginx中进行哪些更改”,因此他离开了nginx并分叉了。
广告
Hacker News上的评论,包括一名据称是F5员工的评论,表明dowin反对将已发布的cve (Common Vulnerabilities and Exposures)分配给QUIC方面的漏洞。虽然在大多数默认的Nginx设置中没有启用QUIC,但它包含在应用程序的“主线”版本中,根据Nginx文档,它包含“最新的功能和错误修复,并且总是最新的”。
来自F5的MZMegaZone似乎是F5的首席安全工程师,他指出“许多客户/用户已经在生产中使用了代码,无论是实验性的还是非实验性的”,并补充说F5是一个CVE编号机构(CNA)。
downin在后来的邮件回复中详细阐述了F5的行动。
当被问及名称混淆和商标问题的可能性时,Dounin在另一个关于商标问题的回应中写道:“我认为[它们]不适用于这里,但IANAL[我不是律师],”“这个名字与项目目标非常吻合。”
MZMegaZone证实了安全信息披露与杜宁离职之间的关系。MZMegaZone在Hacker News上写道:“我所知道的是,他反对我们指派cve的决定,对我们这样做很不高兴,而且这个时机似乎并不巧合。”他后来补充道:“我不认为cve会对NGINX或Maxim产生负面影响。我很遗憾他有这样的感觉,但我对他没有恶意,真的希望他成功。”
Ars联系了F5寻求评论,并将更新这篇文章的任何新信息。
当记者通过电子邮件联系到杜宁时,他指向了他的邮件列表回复,要求澄清。他补充说:“从本质上讲,F5无视项目政策和联合开发商的立场,没有任何讨论。”
MegaZone在给Ars的信中写道(他只代表自己,不代表F5),他说:“这是一个不幸的情况,但我认为我们在分配cve和遵循公开披露实践方面为用户做了正确的事情。理性的人可以不同意,我尊重马克西姆对这件事有自己的看法,对他或叉子没有恶意。我希望事情没有发展到这一步,但我尊重他的选择。”
