nginx perde una colonna portante (che lancia freenginx)

nginx perde una colonna portante (che lancia freenginx)

Maxim Dounin ha annunciato la decisione di abbandonare nginx lanciando la sua alternativa lontana dalle politiche di F5: nasce freenginx.
nginx perde una colonna portante (che lancia freenginx)
Maxim Dounin ha annunciato la decisione di abbandonare nginx lanciando la sua alternativa lontana dalle politiche di F5: nasce freenginx.

Con tutta probabilità, il nome di Maxim Dounin dirà qualcosa solo agli addetti ai lavori, ma si tratta da lungo tempo di una colonna portante del progetto nginx, il server Web più utilizzato al mondo (34,1%, più di Apache, fonte W3Techs). Lo sviluppatore ha scelto di interrompere il proprio impegno sull’iniziativa, con un messaggio che vale la pena riportare di seguito in forma tradotta, così da comprendere cosa lo ha spinto a prendere la decisione.

nginx è di F5: Maxim Dounin lancia freenginx

Per capire fino in fondo quanto accaduto, facciamo un passo indietro. Nel 2002, lo sviluppatore russo Igor Sysoev ha iniziato a lavorare sul progetto, con l’obiettivo di offrire una soluzione adeguata ai siti che all’epoca necessitavano di gestire un gran numero di richieste da parte dei client connessi. La prima versione è arrivata nel 2004, guadagnando subito popolarità e facendo crescere il progetto negli anni successivi. Nel 2011 è nata Nginx Inc. con l’obiettivo di fornire applicazioni commerciali e supporto, acquisita poi nel 2019 dalla statunitense F5 a fronte di un investimento pari a 670 milioni di dollari.

Veniamo a tempi più recenti: nel 2022, in conseguenza all’esplosione della guerra in Ucraina, la società ha annunciato la chiusura del proprio ufficio a Mosca. Maxim Dounin è tra i dipendenti colpiti, ma avendo a cuore nginx, ha continuato da allora a dare il suo contributo da volontario.

Come probabilmente saprete, F5 ha chiuso il suo ufficio di Mosca nel 2022 e io non lavoro più per F5 da allora. Tuttavia, abbiamo raggiunto un accordo perché io mantenessi il mio ruolo nello sviluppo di nginx come volontario. Per almeno due anni ho lavorato sull’ottimizzazione di nginx e al fine di renderlo migliore per tutti, in modo gratuito.

La nuova strategia aziendale è ora ritenuta dal diretto interessato poco attenta alla natura e alla filosofia dell’iniziativa, esponendola a rischi legati alla sicurezza.

Sfortunatamente, alcuni nuovi dirigenti non tecnici di F5 hanno recentemente deciso di sapere meglio di me come gestire i progetti open source. In particolare, hanno deciso di interferire con le politiche sulla sicurezza che nginx impiega da anni, ignorando sia le policy sia la posizione degli sviluppatori.

Non potendo più esercitare il controllo su nginx, Dounin ritiene siano venuti meno i requisiti necessari per ritenerlo un progetto open source.

È abbastanza comprensibile: possiedono il progetto e ci possono fare qualsiasi cosa, incluse le azioni motivate dal marketing, ignorando la posizione degli sviluppatori e la comunità. Eppure, questo è in contraddizione con il nostro accordo. E, ancora più importante, non sono più in grado di controllare quali cambiamenti sono apportati a nginx all’interno di F5, e non vedo più nginx come un progetto open source sviluppato e mantenuto per il bene pubblico.

L’addio è contestuale al lancio di un’alternativa battezzata freenginx.

Così, a partire da oggi, non parteciperò più allo sviluppo di nginx gestito da F5. Al suo posto, sto avviando un progetto alternativo che sarà gestito dagli sviluppatori e non da realtà aziendali: freenginx.org. L’obiettivo è mantenere lo sviluppo di nginx libero dalle azioni arbitrarie di un’azienda. Aiuti e contributi sono benvenuti. Spero sarà di beneficio a tutti.

La proverbiale goccia che ha fatto traboccare il vaso è da ricercare nella modalità di gestione di un bug inerente al protocollo HTTP/3, etichettato come una vulnerabilità CVE da F5, una decisione conseguente a un approccio definito problematico dallo stesso Dounin in un intervento recente. Per tutti i dettagli rimandiamo al blog ufficiale della società.

Il sito Ars Technica ha ricevuto e pubblicato la posizione ufficiale dell’azienda su quanto accaduto. La riportiamo in forma tradotta.

F5 è impegnata a realizzare progetti open source di successo che richiedono una comunità ampia e diversificata di contributori così come l’applicazione di rigorosi standard del settore per l’assegnazione e la gestione delle vulnerabilità identificate. Crediamo che questo sia l’approccio giusto per sviluppare un software altamente sicuro per i nostri clienti e la nostra comunità e incoraggiamo la comunità open source a unirsi a noi in questo impegno.

Fonte: nginx
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
16 feb 2024
Link copiato negli appunti