Krajobraz po policyjnym rajdzie na siedzibę nginx. Kod serwera ma być bezpieczny

Maciej Olanicki, 16.12.2019 r.

Z oprogramowania nginx korzysta dziś około 67% serwisów znajdujących się na liście witryn z największym ruchem. Opensource’owy serwer WWW z powodzeniem wykorzystywany jest między innymi przez takich hegemonów swoich kategorii, jak Instagram, Netflix czy Pinterest. W ostatnim czasie dochodziły jednak do nas niepokojące wieści – moskiewską siedzibę twórców nginx odwiedziła policja. Dziś wiadomo już na ten temat więcej.

Oczywiście w świecie zachodnim podobne przypadki z góry klasyfikowane są jako próby infiltracji producentów popularnego oprogramowania przez rosyjskie służby. Wyobraźnia wielu rozgrzała się wizjami, w których Kreml położy rękę na oprogramowaniu wykorzystywanym przez miliony witryn na całym świecie. Niestety, historia ta jest nieco mniej porywająca, ale wciąż pozostawia sporo wątpliwości co do przyszłości serwera.

Wizyta policji w siedzibie nginx to efekt sporu dot. własności intelektualnej, jaki trwa pomiędzy założycielami firmy, Igorem Susojewem i Maksymem Konowałowem, a Aleksandrem Mamutem, właścicielem Rambler Group, która rości sobie do nginx prawa. Dziej się tak, gdyż to właśnie dla Rambler Group pracował Sosujew, gdy ukończył pierwsze wersje serwera w 2004 roku.

Sosujew i Konowałow zostali przesłuchani, zaś po naradzie zarząd Rambler Group zapowiedział, że wycofa swoje roszczenia. Wierzyć mu jednak musimy na słowo, co z kolei rodzi sporo wątpliwości. W najczarniejszym scenariuszu po przejęciu praw mogłoby dojść do niekorzystnych dla milionów serwisów zmian licencyjnych. Głos w tej sprawie zajął Gus Robertson, wicedyrektor F5 Networks, które kupiło nginx w marcu tego roku.

Robertson zapewnił, że sytuacja jest pod kontrolą, a wszystkie master buildy serwera są bezpieczne z dala tak od rosyjskiej policji, jak i pracowników Rambel Group:

Niezwłocznie po tym wydarzeniu podjęliśmy działania w celu zapewnienia bezpieczeństwa naszych kompilacji oprogramowania dla NGINX, NGINX Plus, NGINX WAF i NGINX Unit – wszystkie są przechowywane na serwerach poza Rosją. Żadne inne produkty nie są opracowywane w Rosji. F5 pozostaje zaangażowane w wprowadzanie innowacji dzięki NGINX, NGINX Plus, NGINX WAF i NGINX Unit i będziemy nadal zapewniać najlepsze w swojej klasie wsparcie, jakiego tylko można się spodziewać.

Wygląda zatem, że ryzyko problemów zostało zażegnane, Roberston zwraca tez uwagę, że samo F5 Networks nie jest stroną w sporze pomiędzy twórcami nginx a Rambler Group. Warto przy tej okazji wspomnieć przypadek Amazona i Elasticsearch – korporacja szefa Bezosa, stojąc w obliczu niekorzystnych dla siebie zmian licencyjnych w popularnym silniku, po prostu… zawczasu go sforkowała i udostępniła kod na licencji Apache 2.0.