Laut Arstechnica hat Maxim Dounin, einer der Hauptentwickler, Nginx verlassen, weil er glaubt, dass es kein Open Source- und kostenloses Projekt mehr zum Nutzen der Community ist. Dounin hat Freenginx entwickelt und erklärt, dass es von Entwicklern und nicht von Unternehmen betrieben werden würde.

Dounin war einer der ersten und noch immer aktivsten Entwickler des Open-Source-Projekts Nginx und einer der ersten Mitarbeiter von Nginx Inc., einem 2011 gegründeten Unternehmen zur kommerziellen Unterstützung der Webserver-Software. Laut W3techs wird Nginx derzeit auf etwa einem Drittel der weltweiten Webserver verwendet, gefolgt von Apache.

Nginx Inc. wurde 2019 von F5 (mit Hauptsitz in Seattle, USA) übernommen. Ende 2019 wurden jedoch zwei Leiter von Nginx, Maxim Konovalov und Igor Sysoev, von russischen Agenten in ihren Häusern festgenommen und verhört. Das Internetunternehmen Rambler hat den Quellcode von Nginx für sich beansprucht, da dieser zu der Zeit entwickelt wurde, als Sysoev arbeitete (auch Dounin war dort tätig). Zwar scheint es bisher keine strafrechtlichen Anklagen gegeben zu haben, doch die Tatsache, dass ein russisches Unternehmen in einen beliebten Open-Source-Teil der Web-Infrastruktur eingedrungen ist, hat einige Bedenken ausgelöst.

Sysoev verließ F5 und das Nginx-Projekt Anfang 2022. Später im selben Jahr stellte F5 aufgrund der russischen Militärkampagne in der Ukraine alle Aktivitäten in diesem Land ein. Einige Nginx-Entwickler haben Angie erstellt, um Nginx-Benutzer in Russland zu unterstützen. Dounin beendete zu diesem Zeitpunkt auch seine Tätigkeit bei F5, behielt jedoch seine Rolle als Freiwilliger im Nginx-Projekt bei.

Dounin sagt, das neue nicht-technische Management bei F5 sei kürzlich davon ausgegangen, dass sie wüssten, wie man Open-Source-Projekte durchführt. Insbesondere beschloss diese Gruppe, unter Umgehung der Entwickler in die Sicherheitsrichtlinie einzugreifen, die Nginx seit Jahren verwendet. Er wertete dies als Zeichen dafür, dass er die an Nginx vorgenommenen Änderungen nicht mehr kontrollieren könne und beschloss daher, das Unternehmen zu verlassen.

Kommentare auf The Hacker News , darunter einer von einem Mitarbeiter, der vermutlich bei F5 arbeitet, zeigen, dass Dounin Einwände gegen die Zuordnung veröffentlichter CVE-Schwachstellen zu QUICs hat. Obwohl es im Standard-Nginx-Setup nicht aktiviert ist, ist QUIC laut Nginx-Dokumentation in der Hauptversion der Anwendung enthalten, enthält die neuesten Funktionen und Fehlerbehebungen und ist immer auf dem neuesten Stand.

In seiner Antwort an The Hacker News sagte Dounin, das F5-Team habe sowohl die Projektrichtlinien als auch die Ansichten der allgemeinen Entwickler ohne jede Diskussion ignoriert. Während die konkrete Maßnahme nicht unbedingt schlecht ist, ist der Gesamtansatz problematisch.

Laut Astechnica bedauerte F5 den Weggang von Dounin und fügte hinzu, dass erfolgreiche Open-Source-Projekte wie Nginx eine große und vielfältige Community von Mitwirkenden sowie die Anwendung strenger Industriestandards zur Zuweisung und Bewertung identifizierter Schwachstellen erforderten. Das Unternehmen ist davon überzeugt, dass dies der richtige Ansatz ist, um hochsichere Software für Kunden und die Community zu entwickeln.