FFmpeg to Google: Fund Us or Stop Sending Bugs
6 months ago
- #CorporateResponsibility
- #OpenSource
- #FFmpeg
- FFmpeg是一个广泛使用的开源多媒体框架,在跨平台和设备音视频处理中不可或缺。
- 谷歌等科技巨头依赖FFmpeg却鲜少提供资金支持,维护工作完全由无偿志愿者承担。
- 谷歌AI发现FFmpeg冷门漏洞后引发争议,暴露出志愿者维护者承受的沉重负担。
- FFmpeg等开源项目在缺乏资金支持下,难以应对AI生成漏洞的修复工作量。
- 谷歌90天漏洞披露期限政策给维护者施压,无视其志愿者身份的特殊性。
- 维护者指出万亿市值企业应资助漏洞修复或提供补丁,而非依赖志愿者。
- libxml2前维护者因处理第三方安全问题的不可持续工作量宣布辞职。
- 安全专家强调需负责任地披露漏洞,但承认志愿者群体缺乏资源支持。
- 若企业持续缺位,FFmpeg和libxml2等关键开源项目恐遭弃置,酿成安全隐患。