Freenginx: il fork "veramente" open source di Nginx

Maxim Dounin, uno dei core developer del Web server Nginx, ha abbandonato il progetto in polemica con le ultime strategie adottate dal management. Contestualmente ha annunciato il lancio di freenginx che è in sostanza un fork di Nginx. Si tratta quindi di una piattaforma che ne condivide la codebase ma che d'ora in poi verrà implementata in modo indipendente.

Le ragioni del conflitto in seno ad Nginx

Dounin avrebbe deciso di non contribuire più allo sviluppo di Nginx in quanto, sono parole sue, esso non farebbe più capo ad un progetto gratuito ed open source destinato a creare pubblico beneficio. Al contrario lo sviluppo freenginx viene presentato come un'iniziativa guidata dagli sviluppatori e non dalle grandi aziende. Nginx, che oggi opera come engine in circa un terzo dei server Web, viene così a perdere uno dei suoi esponenti più attivi.

Gli ultimi anni della piattaforma sono stati in ogni caso travagliati. Nel 2019 la Nginx Inc. venne acquisita dalla F5 di Seattle. Sempre quell'anno Maxim Konovalov e Igor Sysoev, a capo del progetto, sono stati interrogati da agenti russi perché la società per cui Sysoev lavorava in precedenza, Rambler, rivendicò i diritti sul sorgente di Nginx. Tali accuse non ebbero seguito ma quanto avvenuto venne considerato preoccupante. Ciò portò Sysoev a lasciare F5 ed Nginx nel 2022.

Dopo l'invasione dell'Ucraina F5 interruppe le operazioni in Russia, mentre Dounin smise di lavorare per F5 ma continuò ad essere un contributor di Nginx. Questo fino alla sua decisione di creare freenginx perché contrario alle interferenze della proprietà sulle politiche di sicurezza.

I CVE della discordia e la nascita di freenginx

Nel caso specifico, quando parliamo di sicurezza intendiamo politiche di disclosure. Cioè quelle legate alla condivisione dei CVE (Common Vulnerabilities and Exposures). Dounin si sarebbe opposto all'assegnazione di CVE su dei bug riguardanti QUIC. Anche se tale protocollo non è abilitato di default in Nginx, è però parte della sua versione "mainline" in cui sono presenti le ultime funzionalità e correzioni di bug del Web server.

A suo parere gli ultimi avvisi di sicurezza sarebbero stati pubblicati nonostante i bug riscontrati nel codice sperimentale di HTTP/3 fossero destinati alle correzioni che si applicano normalmente a problemi dello stesso tipo. Convinto che ormai il progetto sia in mano a un "non-technical management" che ignora le security policy esistenti e il parere degli sviluppatori, Dounin avrebbe così rinunciato al suo ruolo in Nginx per creare freenginx.