Hacker News 中文摘要

RSS订阅

FFmpeg向谷歌喊话:要么资助我们,要么停止提交漏洞 -- FFmpeg to Google: Fund Us or Stop Sending Bugs

原文链接 | HN讨论 | 2025-11-12 04:25:14

文章摘要

FFmpeg开发者要求谷歌要么提供资金支持,要么停止提交bug报告,暗示开源项目维护需要更多资源支持。文章呼吁企业用户为依赖的开源软件提供资助。

文章总结

FFmpeg向谷歌喊话:要么资助我们,要么停止提交漏洞

核心内容:
知名开源多媒体框架FFmpeg近日在社交媒体公开喊话谷歌,要求这家科技巨头要么提供资金支持项目维护,要么停止用AI工具向项目提交海量安全漏洞报告。这场争论揭示了开源社区与科技巨头之间日益紧张的关系。

关键细节:
1. 项目重要性
FFmpeg是处理音视频文件的核心开源工具,被Chrome、Firefox、YouTube等广泛使用,但完全由志愿者维护。

  1. 争议起源
    谷歌AI发现了一个涉及1995年游戏《Rebel Assault 2》编解码器的边缘性漏洞,FFmpeg开发者认为这类低价值漏洞修复消耗了志愿者宝贵时间。

  2. 资金困境

  • FFmpeg团队表示已无力应对企业级安全需求
  • libxml2前维护者因类似压力辞职,称"无偿维护者无法承担企业级安全责任"
  • 亚马逊员工透露公司拒绝资助关键开源项目却要求特殊待遇
  1. 政策冲突
    谷歌"报告透明度"政策要求90天内披露漏洞(无论是否修复),被开源社区认为将压力转嫁给志愿者。

各方立场:
- FFmpeg:万亿级企业用AI挖掘"业余爱好者的代码漏洞"不公平
- 谷歌:漏洞披露是贡献数字公域的行为,已提供补丁奖励计划
- 安全专家:关键基础设施必须保证安全性

深层问题:
文章指出这反映了开源可持续性危机——科技巨头每年通过开源软件获利数十亿,但对关键项目的资助微乎其微。随着更多维护者 burnout(如libxml2维护者12月将离职),整个互联网基础设施面临风险。

现状:
FFmpeg虽修复了谷歌报告的漏洞,但要求企业要么附带补丁提交漏洞,要么直接资助项目,否则可能效仿其他项目停止维护。这场争论正在Reddit、Hacker News等开发者社区持续发酵。

评论总结

以下是评论内容的总结,平衡呈现不同观点并保留关键引用:

1. 支持开源维护者,批评大公司行为

  • 主要观点:大公司(如Google)依赖开源项目却不愿提供资金支持,将修复漏洞的负担转嫁给志愿者。
    • 引用:"Many in the FFmpeg community argue... it is unreasonable for a trillion-dollar corporation... to shift the workload to unpaid volunteers." (palmotea)
    • 引用:"Google might be aiming to replace ffmpeg... Remember how Jia Tan flooded xz with work before stepping up as a maintainer." (immibis)

2. 认为漏洞报告本身有价值

  • 主要观点:无论报告者是谁,漏洞都应被处理,隐瞒漏洞不会提高安全性。
    • 引用:"a bug report is a bug report, no matter how small or big the bug... it should be addressed." (ganelonhb)
    • 引用:"Obscurity doesn’t create security... they should be ignorant of them." (benced)

3. 建议开源项目采取商业策略

  • 主要观点:开源项目应通过商业授权或支持合同获得资金。
    • 引用:"FFmpeg should just dual license... You pay for it or GTFO." (section_me)
    • 引用:"spin up a commercial arm that gets support contracts with Google, Amazon... Probably could pull in millions." (bhouston)

4. 质疑Google的动机

  • 主要观点:Google公开漏洞可能旨在削弱项目或推动自身替代方案。
    • 引用:"Burning cash to generate spam bug reports... leaves a very sour taste." (theoldgreybeard)
    • 引用:"They probably want to drown you in CVEs to force deprecation... into their system." (righthand)

5. 对开源生态的批判

  • 主要观点:当前系统剥削开源维护者,需要结构性改革。
    • 引用:"The system is broken... there outta be a law mandating payments to open source maintainers." (palmotea)
    • 引用:"Never work for free... leads to bad actors taking advantage." (ironman1478)

6. 其他争议点

  • AI生成内容质疑:部分用户认为原文是AI生成的低质量内容。
    • 引用:"this article is largely AI-generated... the whole site appears to be heavy on AI slop." (chemotaxis)
  • 漏洞披露时机争议:提前公开漏洞可能助长恶意攻击。
    • 引用:"announcing a vulnerability before the patch... incentivize bad actors." (dbl000)

关键矛盾集中在大公司与开源社区的权利义务失衡,解决方案倾向商业化(如双重许可)或政策干预,同时伴随对Google行为的深度不信任。