Getty Images
Un développeur principal de Nginx, actuellement le serveur Web le plus populaire au monde, a quitté le projet, déclarant qu’il ne le considérait plus comme « un projet libre et open source… pour le bien public ». Son fork, freenginx, « sera géré par des développeurs, et non par des sociétés », écrit Maxim Dounin, et sera « exempt d’opérations corporatives arbitraires ».
Dounin est l’un des premiers codeurs et toujours le plus actif sur le projet open source Nginx et l’un des premiers employés de Nginx, Inc., une société créée en 2011 pour prendre en charge commercialement le serveur Web en croissance constante. Nginx est désormais utilisé sur environ un tiers des serveurs Web dans le monde, devant Apache.
Une histoire délicate de création et de propriété
Nginx Inc. a été acquis par la société de réseau F5 basée à Seattle en 2019. Plus tard cette année-là, deux des dirigeants de Nginx, Maxim Konovalov et Igor Sysoev, ont été arrêtés et interrogés à leur domicile par des agents armés de l’État russe. L’ancien employeur de Sysoev, la société Internet Rambler, a affirmé détenir les droits sur le code source de Nginx, tel qu’il a été développé pendant le mandat de Sysoev chez Rambler (où Dounin travaillait également). Bien que les accusations criminelles et les droits ne semblent pas s’être concrétisés, les implications de l’intrusion d’une entreprise russe dans un élément open source populaire de l’infrastructure du Web ont suscité une certaine inquiétude.
Sysoev a quitté F5 et le projet Nginx début 2022. Plus tard cette année-là, en raison de l’invasion russe de l’Ukraine, F5 a interrompu toutes ses opérations en Russie. Certains développeurs Nginx toujours en Russie ont formé Angie, développé en grande partie pour prendre en charge les utilisateurs de Nginx en Russie. Dounin a techniquement cessé de travailler pour F5 à ce moment-là également, mais a maintenu son rôle dans Nginx « en tant que bénévole », selon la liste de diffusion de Dounin.
Dounin écrit dans son annonce que « la nouvelle direction non technique » de F5 « a récemment décidé qu’elle savait mieux gérer des projets open source. En particulier, ils ont décidé d’interférer avec la politique de sécurité utilisée par Nginx depuis des années, ignorant à la fois la politique et les développeurs. ‘ position. » Bien que cela soit « tout à fait compréhensible », compte tenu de leur propriété, Dounin a écrit que cela signifie qu’il n’était « plus en mesure de contrôler les modifications apportées dans nginx », d’où son départ et son fork.
Les CVE au centre de la scission
Les commentaires sur Hacker News, dont celui d’un prétendu employé de F5, suggèrent que Dounin s’est opposé à l’attribution de CVE (Common Vulnerabilities and Exposures) publiées aux bogues dans certains aspects de QUIC. Bien que QUIC ne soit pas activé dans la configuration la plus par défaut de Nginx, il est inclus dans la version « principale » de l’application, qui, selon la documentation de Nginx, contient « les dernières fonctionnalités et corrections de bogues et est toujours à jour ».
Le commentateur de F5, MZMegaZone, apparemment l’ingénieur principal en sécurité chez F5, note qu’« un certain nombre de clients/utilisateurs ont le code en production, expérimental ou non » et ajoute que F5 est une autorité de numérotation CVE (CNA).
Dounin a développé les actions de F5 dans une réponse ultérieure par courrier.
L' »avis de sécurité » le plus récent a été publié malgré le fait que le bug particulier dans le code expérimental HTTP/3 devrait être corrigé comme un bug normal conformément à la politique de sécurité existante, et tous les développeurs, moi y compris, sont d’accord sur ce point. .
Et même si l’action en question n’est pas vraiment mauvaise, l’approche en général est assez problématique.
Interrogé sur le potentiel de confusion dans les noms et sur les problèmes liés aux marques, Dounin a écrit dans une autre réponse concernant les problèmes liés aux marques : « Je crois [they] ne s’applique pas ici, mais IANAL [I am not a lawyer], » et « le nom correspond bien aux objectifs du projet ».
MZMegaZone a confirmé la relation entre les révélations de sécurité et le départ de Dounin. « Tout ce que je sais, c’est qu’il s’est opposé à notre décision d’attribuer des CVE, qu’il n’était pas content que nous l’ayons fait, et que le timing ne semble pas une coïncidence », a écrit MZMegaZone sur Hacker News. Il a ajouté plus tard : «Je ne pense pas que le fait d’avoir les CVE devrait avoir une mauvaise incidence sur NGINX ou Maxim. Je suis désolé qu’il ressente ce qu’il ressent, mais je n’ai aucune mauvaise volonté à son égard et je lui souhaite du succès, sérieusement. »
Dounin, contacté par courrier électronique, a souligné les réponses de sa liste de diffusion pour obtenir des éclaircissements. Il a ajouté : « Essentiellement, F5 a ignoré à la fois la politique du projet et la position des co-développeurs, sans aucune discussion. »
MegaZone a écrit à Ars (notant qu’il ne parlait que pour lui-même et non pour F5), déclarant : « C’est une situation malheureuse, mais je pense que nous avons fait la bonne chose pour les utilisateurs en attribuant des CVE et en suivant les pratiques de divulgation publique. Les personnes rationnelles peuvent être en désaccord et Je respecte que Maxim ait son propre point de vue sur la question, et je n’ai aucune mauvaise volonté envers lui ou la fourchette. J’aurais aimé qu’on n’en arrive pas là, mais je respecte le choix qui lui appartenait.
Un représentant de F5 a écrit à Ars que :
F5 s’engage à réaliser des projets open source réussis qui nécessitent une communauté de contributeurs large et diversifiée, ainsi qu’à appliquer des normes industrielles rigoureuses pour l’attribution et la notation des vulnérabilités identifiées. Nous pensons qu’il s’agit de la bonne approche pour développer des logiciels hautement sécurisés pour nos clients et notre communauté, et nous encourageons la communauté open source à nous rejoindre dans cet effort.
Ce message a été mis à jour à 20 h 15 HE le 15 février pour inclure une déclaration de F5.