Возможно, вы никогда не слышали о FFmpeg, но вы его использовали. Надежная мультимедийная платформа этой программы с открытым исходным кодом используется для обработки видео- и аудиофайлов и потоков мультимедиа на многочисленных платформах и устройствах. Он предоставляет инструменты и библиотеки для преобразования форматов, то есть транскодирования, воспроизведения, редактирования, потоковой передачи и эффектов постобработки как для аудио, так и для видео.
Библиотеки FFmpeg, такие как libavcodec и libavformat, необходимы для медиаплееров и программного обеспечения, включая VLC, Kodi, Plex, Google Chrome, Firefox и даже серверную часть обработки видео YouTube. Кроме того, как и многие другие жизненно важные программы с открытым исходным кодом, катастрофически недостаточно финансируется.
Корпоративная ответственность против волонтерского труда
В Твиттере начались оживленные дебаты между Дэном Лоренком, генеральным директором и соучредителем Chainguard, компании, занимающейся безопасностью цепочек поставок программного обеспечения, проекта FFmpeg, Google и исследователей безопасности по поводу раскрытия информации о безопасности и ответственности крупных технологических компаний в области программного обеспечения с открытым исходным кодом.
Суть дискуссии вращается вокруг того, как следует сообщать об уязвимостях, кто несет ответственность за их устранение, а также проблем, которые возникают, когда ИИ используется для обнаружения потока потенциально бессмысленных проблем безопасности. Но в глубине души дело в деньгах.
Неизвестная ошибка разжигает споры
Эта дискуссия накаляется уже некоторое время. В середине октября FFmpeg написал в Твиттере, что «к вопросам безопасности в FFmpeg относятся очень серьёзно, но исправления пишутся добровольцами». Этот момент невозможно переоценить. Как позже написал FFmpeg в Твиттере: «FFmpeg пишется почти исключительно добровольцами».
Таким образом, как отметил в Твиттере Марк Этвуд, эксперт по политике открытого исходного кода, ему приходилось продолжать говорить Amazon, чтобы она не делала вещей, которые могли бы испортить FFmpeg, потому что ему приходилось продолжать объяснять своим боссам, что «они не поставщики, нет никакого соглашения о неразглашении, у нас нет рычагов влияния, ваш вице-президент отказался помочь им финансировать, и они могут завтра убить три основные линейки продуктов с помощью электронной почты. Так что остановитесь и послушайте меня…»
Растущая нагрузка на разработчиков открытого исходного кода
Последний эпизод возник после того, как агент Google AI обнаружил особенно неясную ошибку в FFmpeg. Насколько неясно? Эта «проблема средней степени воздействия в ffmpeg», которую разработчики FFmpeg исправили, представляет собой «проблему с декодированием кодека LucasArts Smush, в частности первых 10-20 кадров Rebel Assault 2, игры 1995 года».
Ух ты.
FFmpeg добавил: «FFmpeg стремится воспроизводить каждый когда-либо созданный видеофайл». Это все хорошо, но является ли это ценным использованием времени программиста на ассемблере? О, да, вы можете не знать. Сердце FFmpeg — язык ассемблера. Как бывший программист на ассемблере, с ним ни в коем случае не легко работать.
Как выразился FFmpeg, это «отстой CVE».
Многие в сообществе FFmpeg не без оснований утверждают, что для корпорации с оборотом в триллион долларов, такой как Google, которая в значительной степени полагается на FFmpeg в своих продуктах, неразумно перекладывать работу по устранению уязвимостей на неоплачиваемых добровольцев. Они считают, что Google должен либо предоставлять исправления с отчетами об уязвимостях, либо напрямую поддерживать сопровождение проекта.
Ранее FFmpeg отмечал, что это далеко не единственный проект с открытым исходным кодом, столкнувшийся с такими проблемами.
В частности, команда проекта упоминает Ника Веллнхофера, бывшего сопровождающего libxml2, широко используемой библиотеки программного обеспечения с открытым исходным кодом для анализа расширяемого языка разметки (XML). Веллнхофер недавно отказался от поддержки libxml2, потому что ему приходилось «тратить несколько часов каждую неделю на решение проблем безопасности, о которых сообщили третьи стороны. Большинство этих проблем не являются критическими, но это все еще большой объем работы.
«В долгосрочной перспективе это неприемлемо для такого неоплачиваемого волонтера, как я… В долгосрочной перспективе предъявлять такие требования к сопровождающим OSS без выплаты им компенсации вредно… Это еще более маловероятно с Google Project Zero, лучшими исследователями безопасности в белой шляпе, которых можно купить за деньги, дышащими в шею добровольцам».
Спорная политика раскрытия информации о безопасности Google
Горячей проблемой стало то, что еще в июле Google Project Zero (GPZ) объявил об испытании своей новой политики прозрачности отчетности. Благодаря этому изменению политики GPZ объявляет, что сообщила о проблеме в конкретном проекте в течение недели с момента обнаружения, после чего начинается стандартный 90-дневный срок раскрытия информации, независимо от того, доступно ли исправление или нет.
Многие добровольные сопровождающие и разработчики программ с открытым исходным кодом считают в высшей степени несправедливым подвергать их такому давлению, когда у Google есть миллиарды для решения этой проблемы.
FFmpeg написал в Твиттере: «Мы очень серьезно относимся к безопасности, но в то же время действительно ли справедливо, что корпорации с оборотом в триллион долларов используют ИИ, чтобы находить проблемы безопасности в кодах хобби людей? Тогда ожидайте, что волонтеры исправят их».
Да, Google действительно предлагает программу вознаграждений за исправления, но, как заметил пользователь Twitter, использующий ник Ignix The Salamander: «FFmpeg уже упомянул, что программа слишком ограничена для них, и они указывают на ограничение в три патча в месяц. Пожалуйста, не думайте, что люди жалуются только ради жалоб, ИМХО, существует настоящий конфликт между корпоративной безопасностью и использованием и поддержкой открытого исходного кода».
Лоренц в ответном письме мне утверждает, что «Создание и публикация программного обеспечения под лицензией с открытым исходным кодом является актом вклада в цифровое достояние. Поиск и публикация информации о проблемах безопасности в этом программном обеспечении также является актом вклада в это же общее достояние.
«Позиция аккаунта FFmpeg X заключается в том, что каким-то образом раскрывать уязвимости — это плохо. Google оказывает большую помощь проектам программного обеспечения с открытым исходным кодом, чем почти любая другая организация, и эти дебаты скорее отпугивают потенциальных спонсоров, чем привлекают их».
Различные взгляды на раскрытие информации об уязвимостях
Фундаментальной проблемой остается то, что команде FFmpeg не хватает финансовых ресурсов и ресурсов разработчиков для борьбы с потоком CVE, созданных ИИ.
С другой стороны, эксперты по безопасности, безусловно, правы, полагая, что FFmpeg является важной частью технологической структуры Интернета и что вопросы безопасности действительно необходимо обнародовать ответственно и решать. В конце концов, хакеры могут использовать ИИ для поиска уязвимостей точно так же, как это делает Google со своим поисковиком ошибок ИИ Big Sleep, и Google хочет выявить потенциальные дыры в безопасности перед ними.
Реальность, однако, такова, что без дополнительной поддержки со стороны компаний с оборотом в триллион долларов, которые получают прибыль от открытого исходного кода, многие критически недофинансированные, управляемые добровольцами критически важные проекты с открытым исходным кодом больше не будут поддерживаться вообще.
Например, Веллнхофер заявил, что больше не будет поддерживать libxml2 в декабре. Libxml2 — это важная библиотека во всех веб-браузерах, веб-серверах, LibreOffice и многочисленных пакетах Linux. Нам больше не нужны аргументы; нам нужна реальная поддержка критически важных программ с открытым исходным кодом, прежде чем произойдет еще одно серьезное нарушение безопасности.
ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Стивен Дж. Воан-Николс, он же sjvn, писал о технологиях и технологическом бизнесе с тех пор, как CP/M-80 была новейшей операционной системой для ПК, скорость 300 бит/с — высокоскоростное подключение к Интернету, WordStar — современный текстовый процессор, и он нам понравился. Узнайте больше от Стивена Дж. Воана-Николса.
