สมาชิกหลักออกจากโครงการ Nginx เนื่องด้วยปัญหาความปลอดภัย

ตามรายงานของ Arstechnica Maxim Dounin หนึ่งในนักพัฒนาหลักได้ลาออกจาก Nginx เนื่องจากเขาเชื่อว่า Nginx ไม่ใช่โอเพ่นซอร์สและโครงการฟรีเพื่อประโยชน์ของชุมชนอีกต่อไป Dounin เป็นผู้สร้าง freenginx ขึ้นมาและบอกว่ามันจะถูกดำเนินการโดยนักพัฒนา ไม่ใช่หน่วยงานองค์กร

Dounin เป็นหนึ่งในนักพัฒนาคนแรกๆ และยังคงมีส่วนร่วมมากที่สุดของโครงการโอเพ่นซอร์ส Nginx และเป็นหนึ่งในพนักงานกลุ่มแรกของ Nginx Inc. ซึ่งเป็นบริษัทที่ก่อตั้งในปี 2011 เพื่อสนับสนุนซอฟต์แวร์เซิร์ฟเวอร์เว็บในเชิงพาณิชย์ ตามรายงานของ W3techs ปัจจุบัน Nginx ถูกใช้ในเว็บเซิร์ฟเวอร์ประมาณหนึ่งในสามของโลก รองลงมาคือ Apache

Nginx Inc. ถูกซื้อกิจการโดย F5 (สำนักงานใหญ่ในเมืองซีแอตเทิล สหรัฐอเมริกา) ในปี 2019 อย่างไรก็ตาม ในช่วงปลายปี 2019 ผู้นำสองคนของ Nginx คือ Maxim Konovalov และ Igor Sysoev ถูกเจ้าหน้าที่รัสเซียควบคุมตัวและสอบสวนที่บ้านของพวกเขา บริษัทอินเทอร์เน็ต Rambler อ้างสิทธิ์ความเป็นเจ้าของโค้ดต้นฉบับของ Nginx เนื่องจากได้รับการพัฒนาในช่วงเวลาที่ Sysoev ทำงานอยู่ (Dounin ก็ทำงานที่นั่นด้วยเช่นกัน) แม้จะดูเหมือนว่าจะยังไม่สามารถสรุปข้อกล่าวหาทางอาญาได้ แต่การที่บริษัทของรัสเซียได้แทรกซึมเข้าไปในส่วนโอเพนซอร์สของโครงสร้างพื้นฐานเว็บยอดนิยมก็ได้สร้างความกังวลขึ้นบ้าง

Sysoev ออกจาก F5 และโปรเจ็กต์ Nginx ในช่วงต้นปี 2022 ในช่วงปลายปีนั้น เนื่องมาจากการรณรงค์ทางทหารของรัสเซียในยูเครน ทำให้ F5 ยุติการดำเนินงานทั้งหมดในประเทศนั้น นักพัฒนา Nginx บางรายได้สร้าง Angie เพื่อรองรับผู้ใช้ Nginx ในรัสเซีย นอกจากนี้ Dounin ยังหยุดทำงานให้กับ F5 ในเวลานั้น แต่ยังคงทำหน้าที่อาสาสมัครในโครงการ Nginx ต่อไป

Thành viên cốt lõi rời dự án Nginx vì quan điểm bảo mật- Ảnh 1. — Nginx คือซอฟต์แวร์เซิร์ฟเวอร์เว็บโอเพ่นซอร์สที่มีส่วนแบ่งการตลาดมากที่สุดในปัจจุบัน

Dounin กล่าวว่าฝ่ายบริหารที่ไม่ใช่นักเทคนิคใหม่ของ F5 เมื่อเร็ว ๆ นี้ถือว่าพวกเขารู้วิธีดำเนินโครงการโอเพนซอร์ส โดยเฉพาะอย่างยิ่ง กลุ่มนี้ตัดสินใจที่จะแทรกแซงนโยบายความปลอดภัยที่ Nginx ใช้มาหลายปี โดยหลีกเลี่ยงนักพัฒนา เขาตีความว่านั่นหมายความว่าเขาไม่สามารถควบคุมการเปลี่ยนแปลงที่เกิดขึ้นกับ Nginx ได้อีกต่อไป ดังนั้นเขาจึงตัดสินใจออกจากระบบ

ความคิดเห็นเกี่ยวกับ The Hacker News รวมถึงความคิดเห็นจากพนักงานที่เชื่อว่ามาจาก F5 แสดงให้เห็นว่า Dounin คัดค้านการมอบหมายช่องโหว่ CVE ที่เผยแพร่ให้กับ QUIC แม้ว่าจะไม่ได้เปิดใช้งานในการตั้งค่า Nginx เริ่มต้น แต่ตามเอกสารของ Nginx ระบุว่า QUIC จะรวมอยู่ในเวอร์ชันหลักของแอปพลิเคชัน ประกอบด้วยฟีเจอร์ล่าสุดและการแก้ไขข้อบกพร่อง และยังอัปเดตอยู่เสมอ

ในการตอบสนองต่อ The Hacker News นั้น Dounin กล่าวว่า ทีมงาน F5 เพิกเฉยทั้งนโยบายโครงการและมุมมองของนักพัฒนาโดยทั่วไปโดยไม่ได้มีการหารือใดๆ แม้ว่าการดำเนินการที่เฉพาะเจาะจงจะไม่ใช่เรื่องเลวร้าย แต่แนวทางโดยรวมนั้นกลับมีปัญหา

ตามรายงานของ Astechnica บริษัท F5 กล่าวว่ารู้สึกเสียใจต่อการลาออกของ Dounin พร้อมระบุว่าโครงการโอเพ่นซอร์สที่ประสบความสำเร็จ เช่น Nginx จำเป็นต้องมีชุมชนผู้สนับสนุนที่มีความหลากหลายและจำนวนมาก รวมไปถึงการใช้มาตรฐานอุตสาหกรรมที่เข้มงวดในการกำหนดและให้คะแนนช่องโหว่ที่ระบุ บริษัทเชื่อว่านี่คือแนวทางที่ถูกต้องในการพัฒนาซอฟต์แวร์ที่มีความปลอดภัยสูงสำหรับลูกค้าและชุมชน

ลิงค์ที่มา