- 9,329
- 18
- 8 Ноя 2022
Максим Доунин, один из создателей Nginx, покидает проект из-за разногласий с F5.
Один из ключевых разработчиков Nginx , наиболее популярного веб-сервера в мире, объявил о своем уходе из проекта. Он заявил, что проект уже не воспринимается им как "свободный и открытый проект... на благо общественности". Максим Доунин, разработчик, создал форк под названием Для просмотра ссылки Войдиили Зарегистрируйся , который, по его словам, "будет управляться разработчиками, а не корпоративными структурами" и будет "свободен от произвольных корпоративных действий".
Доунин является одним из первых и наиболее активных участников проекта Nginx и был одним из первых сотрудников компании Nginx, Inc., созданной в 2011 году для коммерческой поддержки этого веб-сервера. В настоящее время Nginx используется примерно на трети веб-серверов мира, опережая Apache.
Nginx Inc. была приобретена компанией F5 , базирующейся в Сиэтле, в 2019 году. В том же году двое лидеров Nginx, Максим Коновалов и Игорь Сысоев, были Для просмотра ссылки Войдиили Зарегистрируйся в своих домах в агентами ФСБ. Бывший работодатель Сысоева, интернет-компания Рамблер, утверждала, что владеет правами на исходный код Nginx, поскольку он был разработан во время работы Сысоева в Рамблере (где также работал Доунин). Хотя уголовные обвинения и права, по-видимому, не были реализованы, проникновение российской компании в популярный открытый исходный код веб-инфраструктуры вызвало некоторое беспокойство.
Сысоев покинул F5 и проект Nginx в начале 2022 года. Позже, в том же году, F5 прекратила все операции в России. Некоторые разработчики Nginx, оставшиеся в России, Для просмотра ссылки Войдиили Зарегистрируйся , во многом для поддержки пользователей Nginx в России. Доунин технически также прекратил работу в F5, но продолжал участвовать в проекте Nginx "как волонтер", согласно его сообщению в списке рассылки.
Доунин в своем заявлении написал, что "новое нетехническое руководство" в F5 "недавно решило, что они лучше знают, как управлять проектами с открытым исходным кодом. В частности, они решили вмешаться в политику безопасности, которую Nginx использует годами, игнорируя как политику, так и мнение разработчиков". Хотя это было "вполне понятно" с точки зрения их владения, Доунин написал, что это означает, что он "больше не может контролировать, какие изменения вносятся в Nginx", что и стало причиной его ухода и создания форка.
В центре разногласий оказались CVE, связанные с багами в аспектах QUIC. Хотя QUIC не включен в наиболее распространенную настройку Nginx по умолчанию, он включен в "основную" версию приложения, которая, согласно документации Nginx, содержит "последние функции и исправления ошибок и всегда актуальна".
<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Доунин Для просмотра ссылки Войдиили Зарегистрируйся о действиях F5 в последующем письме:</span>
Последний бюллетень безопасности был опубликован, несмотря на то что определённая ошибка в экспериментальной реализации HTTP/3 должна была рассматриваться и исправляться как стандартная проблема, в полном соответствии с действующими принципами безопасности, на что единогласно согласились все разработчики, включая меня.
И хотя это отдельное решение само по себе не критично, в общем контексте такая стратегия вызывает значительные опасения.
Для просмотра ссылки Войдиили Зарегистрируйся , главный инженер по безопасности F5, подтвердил, что раскрытие информации о безопасности стало поворотным моментом для ухода Доунина. "Он был против нашего решения выделять CVE и не одобрил этот шаг, при этом совпадение времени выглядит неслучайным", - Для просмотра ссылки Войди или Зарегистрируйся на платформе Hacker News. В дополнение, он выразил мнение: "Я убежден, что присвоение CVE не должно омрачать репутацию NGINX или Максима. Жаль, что он разделяет такую точку зрения, но я сохраняю к нему уважение и искренне желаю ему успехов".
Представитель F5 написал Ars следующее:
<blockquote> F5 стремится реализовывать успешные проекты с открытым исходным кодом, требующие большого и разнообразного сообщества участников, а также применять строгие отраслевые стандарты для определения и оценки выявленных уязвимостей. Мы считаем, что это правильный подход к разработке высокозащищенного программного обеспечения для наших клиентов и сообщества, и мы призываем сообщество открытого исходного кода присоединиться к нам в этих усилиях.
</blockquote>
Один из ключевых разработчиков Nginx , наиболее популярного веб-сервера в мире, объявил о своем уходе из проекта. Он заявил, что проект уже не воспринимается им как "свободный и открытый проект... на благо общественности". Максим Доунин, разработчик, создал форк под названием Для просмотра ссылки Войди
Доунин является одним из первых и наиболее активных участников проекта Nginx и был одним из первых сотрудников компании Nginx, Inc., созданной в 2011 году для коммерческой поддержки этого веб-сервера. В настоящее время Nginx используется примерно на трети веб-серверов мира, опережая Apache.
Nginx Inc. была приобретена компанией F5 , базирующейся в Сиэтле, в 2019 году. В том же году двое лидеров Nginx, Максим Коновалов и Игорь Сысоев, были Для просмотра ссылки Войди
Сысоев покинул F5 и проект Nginx в начале 2022 года. Позже, в том же году, F5 прекратила все операции в России. Некоторые разработчики Nginx, оставшиеся в России, Для просмотра ссылки Войди
Доунин в своем заявлении написал, что "новое нетехническое руководство" в F5 "недавно решило, что они лучше знают, как управлять проектами с открытым исходным кодом. В частности, они решили вмешаться в политику безопасности, которую Nginx использует годами, игнорируя как политику, так и мнение разработчиков". Хотя это было "вполне понятно" с точки зрения их владения, Доунин написал, что это означает, что он "больше не может контролировать, какие изменения вносятся в Nginx", что и стало причиной его ухода и создания форка.
В центре разногласий оказались CVE, связанные с багами в аспектах QUIC. Хотя QUIC не включен в наиболее распространенную настройку Nginx по умолчанию, он включен в "основную" версию приложения, которая, согласно документации Nginx, содержит "последние функции и исправления ошибок и всегда актуальна".
<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Доунин Для просмотра ссылки Войди
Последний бюллетень безопасности был опубликован, несмотря на то что определённая ошибка в экспериментальной реализации HTTP/3 должна была рассматриваться и исправляться как стандартная проблема, в полном соответствии с действующими принципами безопасности, на что единогласно согласились все разработчики, включая меня.
И хотя это отдельное решение само по себе не критично, в общем контексте такая стратегия вызывает значительные опасения.
Для просмотра ссылки Войди
Представитель F5 написал Ars следующее:
<blockquote> F5 стремится реализовывать успешные проекты с открытым исходным кодом, требующие большого и разнообразного сообщества участников, а также применять строгие отраслевые стандарты для определения и оценки выявленных уязвимостей. Мы считаем, что это правильный подход к разработке высокозащищенного программного обеспечения для наших клиентов и сообщества, и мы призываем сообщество открытого исходного кода присоединиться к нам в этих усилиях.
</blockquote>
- Источник новости
- www.securitylab.ru
