开源多媒体框架 FFmpeg 因其志愿者维护模式与资金严重短缺,正与 Google 等科技巨头就安全漏洞的修复责任产生争论。当 Google 的 AI 发现一个冷门漏洞后,FFmpeg 社区认为,要求无偿志愿者修复由巨头公司发现的问题是不公平的,尤其是在 Google 推行更严格的漏洞披露政策后,这加剧了志愿者的压力。这一事件凸显了关键开源项目在缺乏企业资金支持下面临的可持续性危机,呼吁企业应为其依赖的开源软件承担更多财务责任。
企业责任与志愿劳动的冲突
一场关于安全漏洞披露和大型科技公司责任的辩论正在展开。核心问题围绕着漏洞应如何报告、谁负责修复,以及当人工智能被用来发现大量潜在无意义的安全问题时所带来的挑战。但归根结底,这关乎资金。
FFmpeg 几乎完全由志愿者编写和维护。这一事实常常被使用其软件的大公司所忽略。一位开源政策专家曾这样描述他与亚马逊的沟通困境:
他们不是供应商,没有保密协议,我们没有任何筹码,你们的副总裁拒绝资助他们,而他们明天就能用一封邮件扼杀我们三个主要的产品线。所以,停下来,听我说……
一个冷门漏洞点燃争议
最近的导火索是 Google 的一个 AI 代理在 FFmpeg 中发现了一个极其冷门的漏洞。这个所谓的“中等影响问题”,涉及到一个1995年游戏的视频编解码器。FFmpeg 的开发者们虽然修复了它,但他们认为这种问题是 “CVE 垃圾”。
FFmpeg 的核心是汇编语言,这是一种极难处理的编程语言。FFmpeg 社区的许多人认为,像 Google 这样的万亿级公司严重依赖 FFmpeg,却将修复漏洞的工作量转移给无薪志愿者,这是不合理的。他们主张:
- Google 在报告漏洞时应同时提供修复补丁。
- 或者,Google 应直接为项目的维护提供资金支持。
开源维护者日益沉重的负担
FFmpeg 的困境并非个例。libxml2 是一个被广泛使用的开源库,其前维护者 Nick Wellnhofer 最近因不堪重负而辞职。他表示,每周都要花费数小时处理第三方报告的安全问题,其中大多数并不严重,但工作量巨大。
从长远来看,这对于像我这样的无薪志愿者是不可持续的……对开源软件维护者提出这样的要求而不给予补偿,最终是有害的。
使问题更加尖锐的是 Google 的新漏洞披露政策。根据该政策,一旦发现问题,90天的披露倒计时就会开始,无论补丁是否可用。这给志愿者维护者带来了巨大的压力。
FFmpeg 对此提出质疑:
我们非常重视安全,但与此同时,让万亿级公司运行 AI 在人们的业余爱好代码中寻找安全问题,然后期望志愿者来修复,这真的公平吗?
不同的视角与最终的现实
一些人认为,发现并公布软件中的安全问题是对数字公共领域的贡献。Google 为开源项目提供了大量帮助,这样的争论可能会吓跑潜在的赞助商。安全专家也正确地指出,FFmpeg 是互联网技术框架的关键部分,安全问题确实需要被负责任地公开和解决。
然而,根本问题依然存在:FFmpeg 团队缺乏资金和开发者资源来应对 AI 产生的大量漏洞报告。
现实情况是,如果没有从开源软件中获利的万亿级公司提供更多支持,许多资金严重不足、由志愿者驱动的关键开源项目将难以为继。例如,libxml2 在所有网络浏览器、服务器和许多 Linux 软件包中都是一个关键库,但它的维护者已经放弃。我们需要的不是更多的争论,而是对关键开源项目的真正支持,以避免下一次重大的安全漏洞事件。