Selon Arstechnica , Maxim Dounin, l'un des principaux développeurs, a quitté Nginx car il estime qu'il ne s'agit plus d'un projet open source et gratuit au profit de la communauté. Dounin a créé freenginx et a déclaré qu'il serait géré par des développeurs et non par des entités commerciales.
Dounin a été l'un des premiers développeurs du projet open source Nginx, et toujours le plus actif, et l'un des premiers employés de Nginx Inc., une société fondée en 2011 pour soutenir commercialement le logiciel de serveur Web. Selon W3techs , Nginx est actuellement utilisé dans environ un tiers des serveurs Web du monde, suivi par Apache.
Nginx Inc. a été acquis par F5 (dont le siège est à Seattle, aux États-Unis) en 2019. Cependant, fin 2019, deux dirigeants de Nginx, Maxim Konovalov et Igor Sysoev, ont été arrêtés et interrogés par des agents russes à leur domicile. La société Internet Rambler a revendiqué la propriété du code source de Nginx car il a été développé à l'époque où Sysoev travaillait (Dounin y travaillait également). Même si aucune accusation criminelle ne semble avoir été portée contre lui, le fait qu'une entreprise russe ait infiltré une partie open source populaire de l'infrastructure Web a suscité certaines inquiétudes.
Sysoev a quitté F5 et le projet Nginx début 2022. Plus tard cette année-là, en raison de la campagne militaire de la Russie en Ukraine, F5 a cessé toutes ses opérations dans ce pays. Plusieurs développeurs Nginx ont créé Angie pour soutenir les utilisateurs de Nginx en Russie. Dounin a également cessé de travailler pour F5 à ce moment-là, mais a conservé son rôle dans le projet Nginx en tant que bénévole.
Nginx est le logiciel de serveur Web open source avec la plus grande part de marché aujourd'hui.
Dounin affirme que la nouvelle direction non technique de F5 a récemment supposé qu'elle savait comment gérer des projets open source. En particulier, ce groupe a décidé d’interférer avec la politique de sécurité que Nginx utilise depuis des années, en contournant les développeurs. Il a compris que cela signifiait qu'il ne pouvait plus contrôler les modifications apportées à Nginx, il a donc décidé de partir.
Les commentaires sur The Hacker News , y compris celui d'un employé que l'on croit être de F5, montrent que Dounin s'oppose à l'attribution des vulnérabilités CVE publiées à QUIC. Bien qu'il ne soit pas activé dans la configuration par défaut de Nginx, selon la documentation de Nginx, QUIC est inclus dans la version principale de l'application, contient les dernières fonctionnalités et corrections de bogues, et est toujours à jour.
En réponse à The Hacker News , Dounin a déclaré que l'équipe F5 avait ignoré à la fois la politique du projet et les points de vue des développeurs généraux sans aucune discussion. Bien que l’action spécifique ne soit pas nécessairement mauvaise, l’approche globale est problématique.
Selon Astechnica , F5 a déclaré regretter le départ de Dounin, ajoutant que les projets open source réussis comme Nginx nécessitent une communauté de contributeurs large et diversifiée, ainsi que l'application de normes industrielles strictes pour attribuer et noter les vulnérabilités identifiées. L’entreprise estime qu’il s’agit de la bonne approche pour développer des logiciels hautement sécurisés pour les clients et la communauté.
Lien source
Comment (0)