„Платете или спрете да търсите бъговете“. Разработчиците на FFmpeg поставиха ултиматум на Google и другите корпорации
Изкуственият разсъдък на Гугъл откри неточност от 1995 година и това докара до спор за справедливостта на отворения код.
Един от най-важните софтуерни планове с отворен код – FFmpeg – се оказа в центъра на спор за това кой е виновен за сигурността на основните съставни елементи на интернет. Дебатът избухна, откакто изкуственият разсъдък на Гугъл откри накърнимост в FFmpeg – кодека Smush на LucasArts, виновен за първите фрагменти на Rebel Assault 2 (1995 г.). Грешката беше отстранена, само че от плана обявиха: поправките се правят от доброволци, а не от корпорации, които печелят пари от това.
FFmpeg е мощен мултимедиен фреймуърк, който обезпечава обработката на аудио и видео за VLC, Kodi, Plex, браузърите Гугъл Chrome и Firefox, както и за видео услуги като YouTube. Нейните библиотеки libavcodec и libavformat са в основата на съвсем цялата екосистема на актуалните медийни платформи. В същото време създаването се прави съвсем напълно от доброволци.
Конфликтът е провокиран от известието на FFmpeg до X: „ Сигурността е извънредно значима за нас, само че кръпките се пишат от доброволци “. Това беше последвано от вълна от мнения за колоси като Гугъл и Amazon, които интензивно употребяват FFmpeg, само че не го поддържат директно.
Експертът по отворен код Марк Атууд подсети, че планове като FFmpeg нямат статут на контрагенти, нямат NDA и „ могат да спрат три корпоративни продуктови линии с едно писмо “. Според него даже убеждаването на управлението на Amazon да финансира тези разработчици се оказва невероятно.
Ситуацията се утежни от новата политика на Гугъл по Project Zero, която от юли 2025 година разгласява вести за уязвимости в границите на една седмица след откриването им, даже в случай че поправката към момента не е подготвена. За доброволците, които не разполагат с нужните запаси или заплата, 90-дневният период за корекция наподобява като напън от страна на корпорацията.
FFmpeg съобщи, че счита за незаслужено да се употребява изкуствен интелект за разкриване на неточности в „ занимание код “ и по-късно да се изисква всичко да бъде поправено. От своя страна Гугъл се базира на това, че по този метод пази общите цифрови ползи и даже предлага стратегия за награди за пачове. Както обаче показват разработчиците на FFmpeg, програмата е прекомерно лимитирана и не покрива действителния обсег на работата.
Ръководителят на Chainguard Дан Лоренц съобщи, че „ намирането и публикуването на уязвимости също е принос към общото богатство “, а Гугъл прави повече за отворения код, в сравнение с съвсем всяка друга организация. Но членовете на общността виждат това по друг метод: корпорациите с доходи от трилиони долари трансферират работното натоварване на доброволците.
И други основни планове се сблъскват с сходни проблеми, в това число libxml2, който се поддържаше от Ник Велнхофер. Той разгласи, че приключва работата си, като изясни, че ежеседмичното анализиране на „ неприоритетни уязвимости “ лишава часове без никаква отплата.
Без спомагателна поддръжка от страна на корпорациите, които печелят от отворения код, доста сериозни планове, които разчитат на работата на доброволците, може да останат без поддръжка и изцяло да спрат да се развиват.
