FFmpeg โวยกูเกิลรายงานช่องโหว่สร้างจาก AI ไม่ส่งแพตช์ บีบให้อาสาสมัครต้องรับผิดชอบ
Body
สัปดาห์ที่ผ่านมาทางโครงการ FFmpeg ใช้บัญชี X ออกมาแสดงความไม่พอใจถึงรายงานช่องโหว่จำนวนมากที่สร้างจากปัญญาประดิษฐ์โดยเฉพาะกูเกิลที่รายงานช่องโหว่ผ่าน Project Zero โดยมีเส้นตาย บีบให้อาสาสมัครของ FFmpeg ต้องเร่งแก้บั๊กจนกระทั่งมีนักพัฒนาบางส่วนเลิกส่งโค้ดเข้า FFmpeg ไป
จุดเริ่มต้นของความไม่พอใจ เกิดจากช่องโหว่ที่รายงานโดยโครงการ BigSleep ของ Project Zero ที่รายงานตั้งแต่เดือนสิงหาคมที่ผ่านมา และแก้ไขไปแล้วใน FFmpeg 8.0 และก่อนหน้านี้เคยมีนักพัฒนาลาออกไปแม้จะเป็นผู้เชี่ยวชาญการ reverse engineer ตัวถอดรหัสวิดีโอต่างๆ
Tavis Ormandy จาก Project Zero ออกมาตอบโต้ว่ากูเกิลรายงานตามช่องโหว่ที่พบ และทีมงานไม่ได้กดดันอะไรให้ FFmpeg ต้องแก้ไข แต่ FFmpeg ก็โต้แย้งว่าการตั้งเวลา 90 วันนั้นเป็นการบีบคั้น (coersion) ให้อาสาสมัครต้องมาพัฒนาแพตช์ให้ และหากกูเกิลตั้งใจจะพัฒนาความปลอดภัยจริงๆ ก็ควรส่งแพตช์หรือสนับสนุนเงินทุนให้นักพัฒนามาทำแพตช์ให้แทนที่จะเก็บหมายเลข CVE ไปเรื่อยๆ
แนวทางการรายงานช่องโหว่อย่างรับผิดชอบ (responsible reporting) มักจะกำหนดเวลาให้ผู้พัฒนาได้มีเวลาแก้ไขช่องโหว่ระยะเวลาหนึ่ง โดย Project Zero นั้นตั้งเวลาไว้ 90 วัน (เคยเลื่อนให้แอปเปิลแต่ไม่เลื่อนให้ไมโครซอฟท์) โดยรวมแล้วแนวทางนี้ทำให้ช่องโหว่ต่างๆ ถูกแก้ไขเร็วขึ้น แต่สำหรับโครงการโอเพนซอร์สที่ไม่ใช่บริษัททำธุรกิจและนักพัฒนาทั้งหมดเป็นอาสาสมัคร การใช้แนวทางแบบเดิมถูกต้องหรือไม่ หรือผู้รายงานช่องโหว่ควรเป็นผู้พัฒนาแพตช์ด้วยก็เป็นประเด็นที่ FFmpeg ยังโต้แย้งกับชุมชนนักวิจัยความปลอดภัยอยู่
ที่มา - @FFmpeg
lew Tue, 04/11/2025 - 14:33
Continue reading...
Body
สัปดาห์ที่ผ่านมาทางโครงการ FFmpeg ใช้บัญชี X ออกมาแสดงความไม่พอใจถึงรายงานช่องโหว่จำนวนมากที่สร้างจากปัญญาประดิษฐ์โดยเฉพาะกูเกิลที่รายงานช่องโหว่ผ่าน Project Zero โดยมีเส้นตาย บีบให้อาสาสมัครของ FFmpeg ต้องเร่งแก้บั๊กจนกระทั่งมีนักพัฒนาบางส่วนเลิกส่งโค้ดเข้า FFmpeg ไป
จุดเริ่มต้นของความไม่พอใจ เกิดจากช่องโหว่ที่รายงานโดยโครงการ BigSleep ของ Project Zero ที่รายงานตั้งแต่เดือนสิงหาคมที่ผ่านมา และแก้ไขไปแล้วใน FFmpeg 8.0 และก่อนหน้านี้เคยมีนักพัฒนาลาออกไปแม้จะเป็นผู้เชี่ยวชาญการ reverse engineer ตัวถอดรหัสวิดีโอต่างๆ
Tavis Ormandy จาก Project Zero ออกมาตอบโต้ว่ากูเกิลรายงานตามช่องโหว่ที่พบ และทีมงานไม่ได้กดดันอะไรให้ FFmpeg ต้องแก้ไข แต่ FFmpeg ก็โต้แย้งว่าการตั้งเวลา 90 วันนั้นเป็นการบีบคั้น (coersion) ให้อาสาสมัครต้องมาพัฒนาแพตช์ให้ และหากกูเกิลตั้งใจจะพัฒนาความปลอดภัยจริงๆ ก็ควรส่งแพตช์หรือสนับสนุนเงินทุนให้นักพัฒนามาทำแพตช์ให้แทนที่จะเก็บหมายเลข CVE ไปเรื่อยๆ
แนวทางการรายงานช่องโหว่อย่างรับผิดชอบ (responsible reporting) มักจะกำหนดเวลาให้ผู้พัฒนาได้มีเวลาแก้ไขช่องโหว่ระยะเวลาหนึ่ง โดย Project Zero นั้นตั้งเวลาไว้ 90 วัน (เคยเลื่อนให้แอปเปิลแต่ไม่เลื่อนให้ไมโครซอฟท์) โดยรวมแล้วแนวทางนี้ทำให้ช่องโหว่ต่างๆ ถูกแก้ไขเร็วขึ้น แต่สำหรับโครงการโอเพนซอร์สที่ไม่ใช่บริษัททำธุรกิจและนักพัฒนาทั้งหมดเป็นอาสาสมัคร การใช้แนวทางแบบเดิมถูกต้องหรือไม่ หรือผู้รายงานช่องโหว่ควรเป็นผู้พัฒนาแพตช์ด้วยก็เป็นประเด็นที่ FFmpeg ยังโต้แย้งกับชุมชนนักวิจัยความปลอดภัยอยู่
ที่มา - @FFmpeg
lew Tue, 04/11/2025 - 14:33
Continue reading...