Thành viên cốt lõi rời dự án Nginx vì quan điểm bảo mật

Theo Arstechnica, Maxim Dounin - một trong những nhà phát triển cốt lõi đã rời khỏi Nginx vì cho rằng đó không còn là một dự án nguồn mở và miễn phí vì lợi ích cộng đồng. Dounin lập ra freenginx và nói sẽ được điều hành bởi các nhà phát triển chứ không phải các tổ chức công ty.

Dounin là một trong những lập trình viên đầu tiên và vẫn tích cực nhất trong dự án nguồn mở Nginx, là một trong những nhân viên đầu tiên của Nginx Inc., công ty được thành lập vào năm 2011 để hỗ trợ thương mại cho phần mềm máy chủ web. Theo W3techs, Nginx hiện được sử dụng trong khoảng một phần ba số máy chủ web trên thế giới, vị trí tiếp theo là Apache.

Nginx Inc. được mua lại bởi F5 (trụ sở tại Seattle, Mỹ) vào năm 2019. Tuy nhiên vào cuối năm 2019, hai lãnh đạo của Nginx là Maxim Konovalov và Igor Sysoev đã bị các đặc vụ của Nga tạm giam và thẩm vấn tại nhà riêng. Công ty Internet Rambler, đã tuyên bố sở hữu quyền đối với mã nguồn của Nginx vì được phát triển tại thời điểm Sysoev từng làm việc (Dounin cũng làm việc tại đây). Trong khi cáo buộc hình sự dường như chưa thành hiện thực, việc một công ty Nga xâm nhập vào một phần nguồn mở phổ biến của cơ sở hạ tầng web đã gây ra một số lo ngại.

Sysoev rời F5 và dự án Nginx vào đầu năm 2022. Cuối năm này, vì Nga thực hiện chiến dịch quân sự tại Ukraine nên F5 đã ngừng mọi hoạt động tại quốc gia này. Một số nhà phát triển Nginx đã lập Angie để hỗ trợ người dùng Nginx tại Nga. Dounin cũng đã ngừng làm việc cho F5 vào thời điểm đó, nhưng vẫn duy trì vai trò của mình trong dự án Nginx với tư cách là một tình nguyện viên.

CHỤP MÀN HÌNH

Dounin cho biết việc quản lý phi kỹ thuật mới tại F5 gần đây cho rằng họ biết rõ cách chạy các dự án nguồn mở. Đặc biệt nhóm này đã quyết định can thiệp vào chính sách bảo mật mà Nginx sử dụng trong nhiều năm, bỏ qua cả nhà phát triển. Anh nhận định điều này nghĩa là đã không còn có thể kiểm soát những thay đổi nào được thực hiện trong Nginx nên quyết định rời đi.

Các nhận xét trên The Hacker News, bao gồm cả nhận xét của một nhân viên được cho là của F5, cho thấy Dounin phản đối việc gán các lỗ hổng bảo mật CVE đã xuất bản đối với của QUIC. Mặc dù nó không được bật trong thiết lập mặc định của Nginx, nhưng theo tài liệu của Nginx, QUIC được bao gồm trong phiên bản chính của ứng dụng, chứa tính năng và sửa lỗi mới nhất và luôn được cập nhật.

Trả lời với The Hacker News, Dounin cho biết nhóm F5 đã bỏ qua cả chính sách dự án và quan điểm của các nhà phát triển chung mà không có bất kỳ cuộc thảo luận nào. Mặc dù hành động cụ thể không hẳn là tệ, nhưng cách tiếp cận nói chung lại có vấn đề.

Còn theo Astechnica, phía F5 cho biết cảm thấy tiếc vì sự rời đi của Dounin, đồng thời cho biết các dự án nguồn mở thành công như Nginx đòi hỏi một cộng đồng cộng tác viên rộng lớn và đa dạng, cũng như áp dụng các tiêu chuẩn ngành nghiêm ngặt để chỉ định và chấm điểm các lỗ hổng đã được xác định. Công ty nhận định đây là cách tiếp cận phù hợp để phát triển phần mềm có độ bảo mật cao cho khách hàng và cộng đồng.