Один из важнейших проектов открытого ПО — FFmpeg — оказался в центре спора о безопасности ключевых компонентов интернета. Искусственный интеллект Google нашёл уязвимость в кодеке для игры 1995 года. Ошибку исправили, но разработчики заявили: FFmpeg написан почти исключительно волонтёрами, а его используют VLC, Chrome, Firefox, YouTube. При этом корпорации вроде Google и Amazon проект напрямую не поддерживают.
Ситуацию обострила политика Google Project Zero: с июля компания публикует уведомления об уязвимостях в течение недели после обнаружения, даже если исправление не готово. Для волонтёров без зарплаты 90-дневный срок — давление. FFmpeg заявил, что несправедливо использовать ИИ для поиска ошибок в «хобби-коде», а затем требовать их исправить. Patch Rewards Program от Google слишком ограничена и не покрывает реальные объёмы работы.
Похожие проблемы у libxml2 — его мейнтейнер Ник Велльнхофер заявил о прекращении работы, объяснив, что еженедельные разборы неприоритетных уязвимостей занимают часы без компенсации. Без реальной поддержки от корпораций критически важные open source проекты могут остаться без разработчиков.
#ffmpeg #opensource #информационнаябезопасность
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
«Платите или прекращайте искать баги». Разработчики FFmpeg выдвинули ультиматум Google и другим корпорациям
Искусственный интеллект Google нашёл баг 1995 года — и открыл спор о справедливости open source.
🤬68