Разработчики FFmpeg призвали Google финансировать проект или прекратить присылать ошибки

Один из старейших и самых используемых в мире мультимедийных инструментов — FFmpeg — оказался в центре громкого спора с Google. Поводом стало заявление команды проекта о том, что корпорации, использующие их код, должны либо помогать финансированием, либо перестать нагружать волонтёров потоками найденных уязвимостей.

FFmpeg используется повсюду — в YouTube, Google Chrome, Firefox, VLC, Plex, телевизионных системах и десятках видеосервисов. Программа отвечает за декодирование, кодирование и потоковую обработку видео и аудио. Однако, как отмечают участники проекта, почти весь код FFmpeg создаётся добровольцами, без какой-либо компенсации.

Обсуждение началось в Twitter после публикации сообщения FFmpeg о том, что исправления безопасности «пишут волонтёры». В разговор вмешались специалисты по информационной безопасности и представители Google. Поводом послужил баг, найденный искусственным интеллектом Google в коде FFmpeg — ошибка затрагивала редкий видеокодек LucasArts Smush из игры 1995 года Rebel Assault 2. Разработчики исправили проблему, но заявили, что подобные случаи превращаются в рутину, отнимающую время у небольшого числа добровольцев.

По словам экспертов по open source, ситуация отражает общую проблему отрасли. Многие крупные компании зависят от бесплатных библиотек, но не участвуют в их поддержке. В пример приводят и случай с libxml2 — библиотекой, используемой в браузерах и офисных пакетах. Её главный разработчик недавно прекратил работу, заявив, что не может еженедельно разбирать десятки отчётов о несущественных уязвимостях.

Обострило конфликт решение Google Project Zero о новой политике раскрытия уязвимостей. Теперь компания сообщает о найденной проблеме в течение недели после обнаружения, даже если исправление ещё не готово. Волонтёры считают это давлением и отмечают, что у них нет ресурсов, чтобы реагировать на такие сроки.

В FFmpeg заявили: «Мы серьёзно относимся к безопасности, но не считаем справедливым, что корпорации с триллионными оборотами с помощью ИИ находят уязвимости в хобби-коде и требуют от волонтёров срочных исправлений». В ответ представители Google напомнили, что компания через программу Patch Rewards финансирует часть открытых проектов, но сама FFmpeg утверждает, что условия программы ограничены — например, поддержка ограничивается тремя патчами в месяц.

Специалисты по безопасности считают, что спор показывает системную проблему — огромные корпорации полагаются на бесплатный труд энтузиастов, обеспечивающих стабильность всей цифровой инфраструктуры. Если добровольцы устанут и уйдут, последствия почувствуют все — от производителей браузеров до облачных платформ.

Источник: https://thenewstack.io