Per la rubrica “cose di cui non sentivamo il bisogno” presentiamo oggi al pubblico freeNGINX, un nuovo, ennesimo fork di un progetto open-source, creato nelle intenzioni del suo autore per risolvere inconciliabili divergenze di vedute con il management del progetto.

freeNGINX è stato annunciato da Maxim Dounin, uno sviluppatore di NGINX che vi stava contribuendo, gratuitamente e volontariamente, dal 2022. In quell’anno infatti F5, che ha acquisito NGINX Inc. nel 2019, ha chiuso l’ufficio di Mosca, lasciando contestualmente “a casa” i dipendenti, tra cui appunto Dounin.

Nel messaggio pubblicato sulla mailing list nginx-devel e riportato dall’articolo di Phoronix che racconta la vicenda vengono chiaramente indicate le ragioni della scelta:

Unfortunately, some new non-technical management at F5 recently decided that they know better how to run open source projects. In particular, they decided to interfere with security policy nginx uses for years, ignoring both the policy and developers’ position.

Sfortunatamente, alcuni nuovi dirigenti non tecnici di F5 hanno recentemente deciso di sapere meglio come gestire progetti open source. In particolare, hanno deciso di interferire con la policy di sicurezza che nginx utilizza da anni, ignorando sia la policy che la posizione degli sviluppatori.

Quindi le ragioni sono essenzialmente, ed estremamente, polemiche.

La ricostruzione di quale sia la ragione principale (il messaggio rimane, forse volutamente, sul vago) è complicata, ma pare legata alla scelta da parte di F5 di rilasciare delle versioni di NGINX con delle CVE associate. Va sottolineato come F5 sia CNA, CVE Numbering Authority da ben prima di curl e Linux e di come, evidentemente, Dounin abbia rilevato una certa leggerezza da parte di F5 stessa nel rilasciare CVE associate a NGINX, in qualche modo per dare rilevanza a chi queste CVE le ha scoperte.

Da qui la scelta di creare http://freenginx.org/, sito totalmente speculare a quello del progetto ufficiale, cioè http://nginx.org/: stessa grafica uscita dagli anni 2000 e stessa modalità di distribuzione dei sorgenti, ossia attraverso il repository Mercurial http://freenginx.org/hg/nginx (no, di GitHub non vi è traccia).

Per quanto freeNGINX non paia avere i presupposti per essere in qualche modo rilevante sul mercato (chissà se la Linux Foundation deciderà di sponsorizzarlo così come ha fatto per openTOFU, il clone di Terraform), questa storia è chiaramente collocabile nella colonna “motivi per cui il modello open-source ha bisogno di una revisione“.

Se questa revisione sia il post-open proposto da Bruce Perens pochi giorni fa è tutto da capire, ma nel suo piccolo anche freeNGINX evidenzia un problema dell’open-source ed allo stesso tempo ne rappresenta l’essenza.

Magari tutti queste riflessioni sono solo molto rumore per nulla, poiché in fondo è da sempre che le cose stanno così, ma nessuno ci toglierà dalla testa che un fork, salvo rarissimi casi, in fondo equivale ad una sconfitta.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.