Maxim Dounin Rời Nginx Vì Khác Biệt Về Bảo Mật

Thành viên cốt lõi rời dự án Nginx vì quan điểm bảo mật
Maxim Dounin Rời Nginx Vì Khác Biệt Về Bảo Mật

Maxim Dounin, một trong những nhà phát triển cốt lõi của Nginx, đã rời dự án vì sự khác biệt về quan điểm bảo mật. Điều này đã dẫn đến việc thành lập dự án freenginx mới.

Maxim Dounin, một trong những nhà phát triển cốt lõi của Nginx, đã chính thức rời khỏi dự án này vì sự khác biệt về quan điểm bảo mật. Ông đã lập ra dự án freenginx mới và tuyên bố rằng nó sẽ được điều hành bởi các nhà phát triển, chứ không phải các tổ chức công ty.

Maxim Dounin đã là một trong những lập trình viên đầu tiên và tích cực nhất trong dự án Nginx, là một trong những nhân viên đầu tiên của Nginx Inc., công ty được thành lập vào năm 2011 để hỗ trợ thương mại cho phần mềm máy chủ web. Hiện nay, Nginx được sử dụng trên khoảng một phần ba số máy chủ web trên toàn cầu, chỉ sau Apache, theo W3techs.

Năm 2019, Nginx Inc. đã được mua lại bởi F5, một công ty có trụ sở tại Seattle, Mỹ.

Tuy nhiên, vào cuối năm 2019, Maxim Konovalov và Igor Sysoev, hai lãnh đạo của Nginx, đã bị các đặc vụ Nga tạm giam và thẩm vấn tại nhà riêng. Công ty Internet Rambler đã tuyên bố sở hữu quyền đối với mã nguồn của Nginx, vì được phát triển tại thời điểm Igor Sysoev từng làm việc tại đó (Maxim Dounin cũng làm việc tại công ty này).

Trong khi cáo buộc hình sự chưa được chứng minh, việc một công ty Nga can thiệp vào một phần mềm mã nguồn mở phổ biến trong cơ sở hạ tầng web đã gây ra nhiều lo ngại. Igor Sysoev đã rời F5 và dự án Nginx vào đầu năm 2022. Vào cuối năm đó, F5 đã tạm ngừng hoạt động tại Ukraine do chiến dịch quân sự của Nga. Một số nhà phát triển Nginx đã thành lập Angie để hỗ trợ người dùng Nginx tại Nga. Maxim Dounin cũng đã ngừng làm việc cho F5 vào thời điểm đó, nhưng vẫn tiếp tục đóng góp cho dự án Nginx với tư cách là một tình nguyện viên.

Maxim Dounin cho biết việc quản lý phi kỹ thuật mới tại F5 đã cho thấy họ không hiểu cách chạy các dự án mã nguồn mở. Ông phản đối việc gán các lỗ hổng bảo mật CVE đã được công bố đối với giao thức QUIC. Mặc dù không được bật trong thiết lập mặc định của Nginx, QUIC vẫn được bao gồm trong phiên bản chính của ứng dụng, chứa các tính năng và sửa lỗi mới nhất và luôn được cập nhật.

Ông cho biết nhóm F5 đã bỏ qua cả chính sách dự án và quan điểm của các nhà phát triển mà không có cuộc thảo luận nào. Mặc dù hành động cụ thể không phải là vấn đề, nhưng cách tiếp cận tổng thể lại gây ra một số vấn đề.

Phía F5 cho biết họ rất tiếc về việc Maxim Dounin rời đi và cho rằng các dự án mã nguồn mở như Nginx đòi hỏi một cộng đồng cộng tác viên rộng lớn và đa dạng, cũng như áp dụng các tiêu chuẩn ngành nghiêm ngặt để chỉ định và đánh giá các lỗ hổng đã được xác định. Công ty cho rằng đây là cách tiếp cận phù hợp để phát triển phần mềm có độ bảo mật cao cho khách hàng và cộng đồng.

Nguồn: Báo Thanh Niên

[question] Tại sao Maxim Dounin đã rời khỏi dự án Nginx?,Công ty nào đã mua lại Nginx vào năm 2019?