你可能从未听说过 FFmpeg,但你一定使用过它。这款开源多媒体框架几乎支撑了所有视频与音频文件的处理流程——从格式转换、播放、编辑到流媒体传输,都离不开它的核心库 libavcodec、libavformat 等。无论是 VLC、Chrome、Firefox,还是 YouTube 的后端,都在依赖 FFmpeg 的同时,却未给予足够的资金支持。

近期,一场围绕“企业责任与志愿者劳动”的争论在 Twitter 上爆发。FFmpeg 项目公开向 Google 喊话:要么出资支持我们,要么停止向我们发送漏洞报告。争论的焦点在于,像 Google 这样市值万亿美元的科技巨头,是否应该把修复漏洞的负担完全转嫁给无偿的志愿者。

导火索
导火索是 Google 的 AI 自动化工具在 FFmpeg 中发现了一个极其冷门的解码缺陷——涉及 1995 年游戏《Rebel Assault 2》中 LucasArts Smush 编码的前 10‑20 帧。FFmpeg 团队指出,虽然他们“致力于播放所有历史上的视频文件”,但修复这类边缘案例需要耗费稀缺的汇编程序员时间,而这些人都是志愿者。FFmpeg 把这类问题称为 “CVE 垃圾”。

FFmpeg 并非孤例。libxml2 的前维护者 Nick Wellnhofer 正因为每周花费数小时处理第三方报告的安全问题而宣布辞职。他直言:“长期对未获报酬的 OSS 维护者提出这样的要求是有害的……在 Google Project Zero 这样的顶尖安全团队紧盯志愿者的情况下,情况更加不可持续。”

Google 的漏洞披露政策
今年 7 月,Google Project Zero 试行了新的“报告透明政策”:在发现问题后一周内公开通报,并启动 90 天披露倒计时,无论是否有补丁可用。这让本就资源匮乏的志愿者维护者感到极大压力。FFmpeg 在推文中反问:“万亿美元的公司用 AI 在别人的业余代码里找安全问题,然后指望志愿者修复——这真的公平吗?”

尽管 Google 设有“补丁奖励计划”,但 FFmpeg 指出该计划每月仅限三个补丁,对规模庞大的项目几乎无济于事。Chainguard 联合创始人 Dan Lorenc 则反驳称,公开漏洞本身也是对数字公共品的贡献,且 Google 已是开源项目最大的支持者之一,此类争论反而可能吓跑潜在赞助方。


安全专家强调,FFmpeg 是互联网技术设施的关键组成部分,漏洞必须被负责任地公开和修复——毕竟黑客同样会用 AI 寻找相同漏洞。但现实是,若没有从开源中获利丰厚的巨头提供实质性支持,许多关键项目将难以为继。Wellnhofer 已宣布 12 月起不再维护 libxml2,而该库是所有浏览器、Web 服务器、LibreOffice 及众多 Linux 软件包的基础。

消息来源:https://thenewstack.io/ffmpeg-to-google-fund-us-or-stop-sending-bugs/