NGINXのコア開発者がF5の経営陣に反発、NGINXをフォークし「FreeNginx」を立ち上げ。F5の経営陣がポリシーや開発者の立場を無視したと

オープンソースで開発されている軽量なWebサーバのNGINX（エンジンエックス）は、開発元であるNGINX社が2019年にF5ネットワークスに買収されたことで、それ以後はF5ネットワークスが開発を主導してきました。

参考：NGINX、F5による買収を正式発表。F5のロードバランサとNGINXのプロキシなどにより総合的なアプリケーションサービスを提供

しかし、NGINXコア開発者の1人であるMaxim Dounin氏が最近のF5ネットワークス経営陣の方針に反発し、NGINXをフォークして「FreeNginx」の立ち上げを発表しました。

Nginxのフォークは相談せずに決めた

今回FreeNginxを立ち上げたMaxim Dounin氏は、NGINXの作者であるIgor Sysoev氏からリリースメンテナーを引き継ぎ、10年以上NGINX開発のコアメンバーとして活動してきました。

Maxim Dounin氏はモスクワ在住で、2022年にロシアがウクライナに侵攻したことをきっかけにF5ネットワークスがNGINXのモスクワオフィスを閉鎖した後も、ボランティアとしてNGINXの開発に参加し、リリース作業をしてきた人物です。

そのためMaxim氏がNGINXのメーリングリストでFreeNginxを立ち上げたことを報告した際にも、リプライとして「これまでありがとう、ご苦労様でした」といったねぎらいの発言が続きました。

一方で、なぜ突然、フォークしてFreeNginxを立ち上げたのか、誰かと相談したのか？ という問いに対して、Maxim氏は「誰とも相談していない」と、メーリングリストで次のように説明しています。

（メーリングリストでのやりとりの内容。下記は質問）
Do you speak only about you?.. Or are there also other developers which share your point of view? Just for the record... What is about R. Arutyunyan, V. Bartenev and others? Could one expect any statement from Igor (Sysoev) about the subject?

あなたご自身のみですか？それともあなたの見解に共感する他の開発者はいるのでしょうか？念のためですが...
R. ArutyunyanやV. Bartenevなど、他のメンバーは？この件に関して、Igor (Sysoev)から何か声明が出てくるでしょうか？

（下記はMaxim氏の答え）

I speak only about me. Others, if they are interested in, are welcome to join.

自分だけで決めました。もし、どなたかこのプロジェクトに興味がある方がいたら歓迎します。

F5の経営陣がこれまでのポリシーを無視すると

Maxim氏がフォークを決心したきっかけは、F5ネットワークスの経営陣がこれまでのNGINXの開発におけるポリシーや開発者の立場を無視することを決めたことだとしています。下記は「[nginx-announce] announcing freenginx.org」からの引用です。

Unfortunately, some new non-technical management at F5 recently decided that they know better how to run open source projects. In particular, they decided to interfere with security policy nginx uses for years, ignoring both the policy and developers’ position.

残念なことに最近になって、技術者ではないF5の新しい経営陣が、オープンソースのプロジェクト運営は彼らの方がよく分かっているとの判断を下しました。特に、NGINXが採用してきたセキュリティポリシーに関して、これまでの開発者達の立場やポリシーを無視することを決断したのです。

具体的にどのような干渉がF5ネットワークスの経営陣からあったのかについては、このアナウンスメントのスレッドの別メールで次のように説明されました。

There was no public discussion. The only discussion I'm aware of happened on the security-alert@ list, and the consensus was that the bug should be fixed as a normal bug. Still, I was reached several days ago with the information that some unnamed management requested an advisory and security release anyway, regardless of the policy and developers position.

公開の議論はなく、唯一あったのはsecurity-alertのメーリングリストにおいてで、そこではそのバグは通常のバグとして修正されることがコンセンサスとなっていました。しかし、ポリシーや開発者の立場にもかかわらず、某経営陣がセキュリティ勧告とセキュリティ対応リリースを要求してきた、との情報を知ったのです。

そのバグはおそらく、2月14日付けでNGINXの脆弱性として公開されたCVE-2024-24989、CVE-2024-2499、CVE-2024-24990のことだと推察されます。

Maxim氏がフォークするに至った経緯については、このようにわずかな情報しか明らかにされていませんが、おそらくは以前からなんらかの軋轢があったのでしょう。ただ、少なくともメーリングリスト上の議論では、現時点でMaxim氏のプロジェクトに積極的に参加を表明する動きはあまり見られないため、FreeNginxの先行きはまだ不透明なように見えます。