FFmpeg เรียกร้อง Google ว่า “สนับสนุนเงินทุน หรือหยุดรายงานบั๊กเสียที”

 (thenewstack.io)
15 คะแนน โดย GN⁺ 2025-11-12 | 15 ความคิดเห็น | แชร์ทาง WhatsApp
  • FFmpeg คือเฟรมเวิร์กโอเพนซอร์สหลักสำหรับการประมวลผลสื่อทั่วโลก และเป็นองค์ประกอบสำคัญที่ใช้ในบริการหลักอย่าง VLC·Chrome·YouTube
  • ไม่นานมานี้ สแกนเนอร์ความปลอดภัยที่ขับเคลื่อนด้วย AI ของ Google พบ บั๊กเล็กน้อย ที่เกี่ยวข้องกับโคเด็กของเกมจากปี 1995 จุดชนวนข้อถกเถียงว่าบริษัทใหญ่กำลังผลักภาระเกินควรให้กับนักพัฒนาอาสาสมัคร
  • ฝั่ง FFmpeg ระบุว่า “โปรเจ็กต์นี้แทบทั้งหมดดูแลโดย อาสาสมัคร” และยืนยันว่า Google ไม่ควรแค่ส่งรายงานช่องโหว่ แต่ควร ส่งแพตช์หรือสนับสนุนด้านการเงิน ด้วย
  • Google เน้นย้ำการมีส่วนร่วมด้านความปลอดภัยอย่างโปร่งใส โดยอ้างถึง นโยบายการเปิดเผยของ Project Zero และ โปรแกรม Patch Rewards แต่ชุมชน FFmpeg ชี้ว่าข้อจำกัดด้านค่าตอบแทนและการสนับสนุนที่ทำได้จริงยังไม่เพียงพอ
  • ข้อถกเถียงครั้งนี้สะท้อนปัญหา CVE จำนวนมากที่ AI สร้างขึ้นกับความยั่งยืนของการดูแลโอเพนซอร์ส และลุกลามไปสู่การถกเรื่องความรับผิดชอบของบริษัทยักษ์ใหญ่ด้านเทคโนโลยี

ภาพรวมความขัดแย้งระหว่าง FFmpeg กับ Google

  • FFmpeg เป็นเฟรมเวิร์กมัลติมีเดียโอเพนซอร์สที่รองรับ การแปลงไฟล์, การเล่น, และการสตรีม ของไฟล์เสียงและวิดีโอ
    • ไลบรารีหลักอย่าง libavcodec, libavformat ถูกใช้งานใน VLC, Kodi, Plex, Chrome, Firefox, YouTube เป็นต้น
    • แต่เช่นเดียวกับโปรเจ็กต์โอเพนซอร์สสำคัญอื่น ๆ โปรเจ็กต์นี้ก็อยู่ในภาวะ ขาดแคลนงบประมาณอย่างหนัก
  • บน Twitter เกิดการโต้เถียงระหว่าง FFmpeg, Google, Chainguard และนักวิจัยความปลอดภัย เกี่ยวกับ วิธีการเปิดเผยช่องโหว่และความรับผิดชอบของแต่ละฝ่าย
    • ประเด็นหลักของการถกเถียงคือ รายงานช่องโหว่จำนวนมากที่สร้างโดย AI มักมีคุณค่าจริงต่ำ

จุดเริ่มต้นของดราม่า: บั๊กเล็กน้อยที่ AI ของ Google พบ

  • เอเจนต์ AI ของ Google พบ บั๊กที่เกี่ยวข้องกับการถอดรหัส LucasArts Smush codec ใน FFmpeg
    • ปัญหานี้เป็น ช่องโหว่ระดับปานกลาง ที่มีผลเฉพาะกับ 10–20 เฟรมแรกของเกมปี 1995 Rebel Assault 2 เท่านั้น
    • นักพัฒนา FFmpeg ได้แพตช์ปัญหานี้แล้ว แต่ก็ตำหนิการรายงานที่ไม่มีประสิทธิภาพ โดยเรียกว่า “CVE slop
  • FFmpeg ระบุว่า “FFmpeg aims to play every video file ever made” โดยมีเป้าหมายด้านความเข้ากันได้อย่างสมบูรณ์แบบ แต่ก็กล่าวถึงด้วยว่าโค้ดส่วนใหญ่ เขียนด้วยภาษาแอสเซมบลี ทำให้ดูแลรักษาได้ยาก

ภาระของผู้ดูแลโอเพนซอร์ส

  • ชุมชน FFmpeg วิจารณ์ว่า บริษัทใหญ่ที่ใช้ FFmpeg อย่าง Google กำลัง โยนภาระการแก้ช่องโหว่ให้กับอาสาสมัครที่ไม่ได้รับค่าตอบแทน
    • จุดยืนของพวกเขาคือ เมื่อ Google รายงานช่องโหว่ ก็ควร แนบแพตช์มาด้วยหรือสนับสนุนเงินทุน ควบคู่กันไป
  • อีกกรณีคล้ายกันคือ Nick Wellnhofer ผู้ดูแล libxml2 ที่ประกาศ หยุดการดูแลรักษา เพราะต้องรับมือกับรายงานความปลอดภัยจากบุคคลที่สามซ้ำแล้วซ้ำเล่า
    • เขาระบุว่า “การที่อาสาสมัครที่ไม่ได้รับค่าตอบแทนต้องใช้เวลาหลายชั่วโมงทุกสัปดาห์เพื่อจัดการปัญหาด้านความปลอดภัย เป็นสิ่งที่ไม่ยั่งยืน”

ข้อถกเถียงเรื่องนโยบายการเปิดเผยของ Google Project Zero

  • ในเดือนกรกฎาคม 2025 Google Project Zero (GPZ) ได้นำนโยบาย ‘** Reporting Transparency**’ มาใช้
    • หลังพบช่องโหว่จะ เปิดเผยภายใน 1 สัปดาห์ และเริ่มนับ เส้นตายแก้ไขภายใน 90 วัน โดยอัตโนมัติ
    • แม้แพตช์จะยังไม่พร้อมก็ยังมีการเปิดเผยต่อไป ทำให้ถูกวิจารณ์ว่า สร้างแรงกดดันเกินควรต่อโปรเจ็กต์ที่ขับเคลื่อนด้วยอาสาสมัคร
  • FFmpeg โต้กลับว่า “มันยุติธรรมหรือไม่ที่ AI ไปค้นพบปัญหาความปลอดภัยในโค้ดงานอดิเรก แล้วเรียกร้องให้อาสาสมัครเป็นคนแก้
  • แม้ Google จะมี Patch Rewards Program อยู่ แต่ FFmpeg ชี้ว่า “มีข้อจำกัดอย่างเช่นเดือนละ 3 รายการ จึงแทบไม่ช่วยอะไรในทางปฏิบัติ”

มุมมองที่แตกต่างและความยั่งยืนของโอเพนซอร์ส

  • Dan Lorenc จาก Chainguard ปกป้องบทบาทของ Google โดยกล่าวว่า การเปิดเผยช่องโหว่ด้านความปลอดภัยก็เป็น การมีส่วนร่วมต่อสินค้าสาธารณะดิจิทัล เช่นกัน
    • เขากล่าวว่า “Google เป็นหนึ่งในบริษัทที่สนับสนุนโอเพนซอร์สมากที่สุด และการถกเถียงแบบนี้อาจยิ่งทำให้ผู้สนับสนุนถอยห่าง”
  • อย่างไรก็ตาม ฝั่ง FFmpeg เน้นย้ำว่า พวกเขา ขาดทั้งคนและเงินทุน ในการรับมือกับ CVE จำนวนมากที่ AI สร้างขึ้น
    • ผู้เชี่ยวชาญด้านความปลอดภัยยอมรับว่า เนื่องจาก FFmpeg เป็นองค์ประกอบหลักของโครงสร้างพื้นฐานอินเทอร์เน็ต การเปิดเผยช่องโหว่จึงยังจำเป็น
  • ช่วงท้ายของบทความเน้นว่า “หากไม่มีการสนับสนุนที่เป็นรูปธรรมจากบริษัทใหญ่ ก็เป็นไปไม่ได้ที่จะรักษาโปรเจ็กต์โอเพนซอร์สสำคัญไว้ได้” พร้อมยกกรณีของ libxml2 เพื่อเน้นย้ำ ความจำเป็นของโครงสร้างการสนับสนุนที่ยั่งยืน

บทความที่เกี่ยวข้อง

15 ความคิดเห็น

 
carnoxen 2025-11-14

คงไม่ถึงขั้นพังทลายความสัมพันธ์กันเหมือนกรณีระหว่างมูลนิธิ WordPress กับบริษัท WP Engine หรอกใช่ไหม?
 
nullptr 2025-11-14

ดูเหมือนว่าจะเป็นเรื่องต่อเนื่องจาก
https://daniel.haxx.se/blog/2024/…
ถ้าบทความข้างบนเป็นกรณีที่บุคคลทั่วไปส่งรายงานที่ผิดไปเลยเพื่อหวังเงินจาก bug bounty กรณีของ FFmpeg คือรายงานที่บริษัทยักษ์ใหญ่ส่งมานั้นมีผลใช้ได้ แต่เป็นเรื่องเล็กน้อย
 
kimjoin2 2025-11-13

ถ้า Google ชี้ประเด็นขึ้นมา จำเป็นต้องตอบสนองทุกครั้งเลยหรือ?
 
furyheimdall 2025-11-13

ดูเหมือนว่าคงเลี่ยงไม่ได้ที่จะต้องรับมือ เพราะสถานการณ์เป็นแบบที่ตัวช่องโหว่ถูกเปิดเผยออกสู่สาธารณะไปแล้ว
 
kimjoin2 2025-11-14

อ๋อ... มีมุมมองแบบนั้นด้วยนี่เองครับ ขอบคุณที่บอกนะครับ!
แปลว่าเป็นส่วนที่พอช่องโหว่ถูกเปิดเผยแล้วก็อาจถูกใช้โจมตีผ่านจุดนั้นได้สินะครับ น่ากลัวจัง
 
roxie 2025-11-13

พูดกันตามจริง จะบอกว่าไม่ว่าจะเปิดเผยต่อสาธารณะหรือไม่ ถ้าเดือดร้อนนักก็ไปแก้เองสิ~ ก็ยังได้ แต่เหมือนว่าผู้ดูแลโครงการเป็นคนที่ทำแบบนั้นไม่ลง จึงทำให้มันพัฒนามาได้ไกลถึงขนาดนี้
 
kimjoin2 2025-11-14

อ๋อ.... ดูเหมือนว่าสิ่งที่คุณพูดจะถูกต้องนะครับ
ผมคิดจากมุมมองของตัวเองมากเกินไปจริง ๆ
ขอบคุณสำหรับคำพูดของคุณครับ!
 
GN⁺ 2025-11-12
ความคิดเห็นจาก Hacker News

  • มีส่วนหนึ่งในบทความที่น่าประทับใจ คือเรื่องที่ Mark Atwood ต้องอธิบายกับหัวหน้าที่ Amazon เพื่อสกัดการตัดสินใจบางอย่างเกี่ยวกับ FFmpeg ว่า “พวกเขาไม่ใช่เวนเดอร์ ไม่มี NDA และเราไม่สามารถใช้อิทธิพลกับพวกเขาได้”
    ฉันเห็นด้วยกับแนวคิดที่ว่า “อย่านำมาแต่ปัญหา จงนำทางแก้มาด้วย” แต่ก็คิดว่าถ้า Google มีเงินพอจะหาบั๊กได้ ก็มีเงินพอจะช่วยแก้ได้เช่นกัน

    • ฉันสนับสนุนการส่งแพตช์ของซอฟต์แวร์โอเพนซอร์สกลับไปที่ upstream มาโดยตลอด
      เพราะแบบนั้นจะได้ไม่ต้องพึ่งแพตช์ปิดภายในองค์กร สามารถตอบแทนโครงการที่ช่วยเราไว้ตั้งแต่แรก และยังเป็นสิ่งที่ถูกต้องในเชิงจริยธรรมด้วย
      แต่ในทางปฏิบัติ ปัญหาคือ ข้อกำหนดด้าน compliance และอุปสรรคเชิงกระบวนการ ภายในบริษัทมักทำให้การ upstream ทำได้ยาก
    • ฉันไม่เข้าใจประโยคที่ว่า “FFmpeg สามารถหยุดสายผลิตภัณฑ์ของ AWS ได้สามตัวด้วยอีเมลฉบับเดียว” อยากรู้ว่าในทางปฏิบัติมันเกิดขึ้นได้อย่างไร
    • ปัญหาคือสิ่งที่บทความเรียกว่า “CVE slop” ถ้าคุณภาพของแพตช์อยู่ในระดับนั้น การแก้ไขก็คงต้องใช้แรงไม่น้อยเหมือนกัน
    • ประเด็นสำคัญคือ Google ไม่ได้จ้างคนมานั่งหาบั๊ก แต่กำลัง รัน AI แบบหว่านแห

  • ฉันเคยจินตนาการถึง ไลเซนส์เชิงเสียดสี ที่กำหนดว่าถ้าพนักงานบริษัทใน S&P500 จะรายงานบั๊ก ต้องบริจาคเงินจำนวนหนึ่งก่อน และถ้าจ่ายไม่ถึงเกณฑ์ก็ไม่ควรคาดหวังว่าจะได้รับการตอบกลับภายในเวลาที่กำหนด
    เวลาบริษัทต่าง ๆ รู้สึกไม่สะดวก พวกเขาก็ไม่ลังเลที่จะหันไปใช้ซอฟต์แวร์ปิดหรือเปลี่ยนไปใช้ AGPL ดังนั้นตอนนี้ถึงเวลาที่ต้องจ่ายค่าตอบแทนกันตรง ๆ แล้ว

  • ในฐานะ ผู้ดูแลรักษา โอเพนซอร์ส ฉันเข้าใจความรู้สึกที่ว่าบริษัทใหญ่ ๆ เหมือนกำลังบังคับให้ทำงานฟรี ด้วยการเปิดเผยปัญหาความปลอดภัยออกมา
    แต่ในความเป็นจริง ไม่ว่าใครจะเป็นคนรายงาน ประเด็นด้านความปลอดภัยก็ยังเป็นสิ่งที่ฉันต้องแก้อยู่ดี
    โครงการจะไม่ให้ความสำคัญกับความปลอดภัยเป็นอันดับต้น ๆ ก็ได้ แต่ถ้าเลือกแบบนั้นก็ต้องยอมรับความเสี่ยงด้านชื่อเสียงที่ตามมาด้วย

    • ถ้า Google พบปัญหาแต่ไม่มีใครแก้ นั่นก็แทบจะเท่ากับการ แจกงานวิจัยช่องโหว่ฟรีให้ผู้ไม่หวังดี โครงการหลักอย่าง FFmpeg ก็แทบไม่มีตัวแทนที่ใช้แทนกันได้
    • เท่าที่ฉันอ่านมา ประเด็นคือ Google เปลี่ยนนโยบายไปเป็น เปิดเผยแน่นอนเมื่อครบกำหนดเวลา
      สำหรับบริษัทเชิงพาณิชย์ การกดดันให้แก้เร็วเป็นเรื่องสมเหตุสมผล แต่การคาดหวังแบบเดียวกันจาก OSS ที่ขับเคลื่อนด้วยอาสาสมัคร นั้นไม่สมจริง
    • ตามบทความ AI ของ Google พบข้อบกพร่องใน โคเด็ก LucasArts Smush ของ FFmpeg
      ว่ากันว่าเกิดขึ้นเฉพาะใน 10–20 เฟรมแรกของเกมจากปี 1995 เท่านั้น จึงรู้สึกว่าการจัดเป็น ‘ความรุนแรงระดับปานกลาง’ นั้นเกินจริงไป
      ดูเป็นตัวอย่างของการทำให้ผู้ดูแลรักษาเสียเวลาเปล่า
    • ประเด็นสำคัญไม่ใช่ว่า “ใครเป็นคนรายงาน” แต่คือ “ความสำคัญที่แท้จริงของปัญหา
      ถ้าเป็นปัญหาร้ายแรง ไม่ว่าใครแจ้งมาก็ควรได้รับการรับฟัง แต่ถ้าเป็นรายงานจุกจิกหรือผิดพลาดก็เมินได้
      สุดท้ายแล้วโครงการต้องเป็นฝ่ายตัดสินเองว่าจะเลือกแก้บั๊กไหน
    • แน่นอนว่า ถ้า Google ส่งแพตช์มาพร้อมกับการเปิดเผยช่องโหว่ ได้ด้วย ก็จะเป็นทางออกที่ดีที่สุด

  • ฉันสนับสนุนจุดยืนของทีม FFmpeg หลายบริษัทใช้ FOSS แค่เพื่อ ฟอกภาพลักษณ์ทางการตลาด แต่ในทางปฏิบัติกลับไม่ค่อยมีส่วนร่วมอะไร
    ถ้าเป็นสมัยก่อน คนกลุ่มนี้อาจแค่ละเมิดลิขสิทธิ์ แต่ตอนนี้ได้อาศัยไลเซนส์มาใช้งานแบบไม่รู้สึกผิดแทน

    • แต่ Google ก็ทุ่ม การ fuzzing อย่างต่อเนื่อง และ ทรัพยากรด้านวิศวกรรม ให้กับ FFmpeg อยู่จริง
      การทดสอบแม้กระทั่งโคเด็กที่ไม่ได้ใช้ภายในบริษัทก็เป็นประโยชน์ต่อสาธารณะล้วน ๆ
      แน่นอนว่า Google มีศักยภาพจะสนับสนุนเงินให้ FFmpeg มากกว่านี้ แต่ฉันไม่เห็นด้วยกับการให้เงินตรงกับผู้ดูแลรักษาคนนี้ในกรณีนี้
    • ด้วยเหตุนี้จึงมีคนจำนวนมากชี้ให้เห็นข้อจำกัดของ MIT license
      มันเปิดให้ใช้ได้อย่างเสรี แต่ก็เปิดช่องให้ถูกเอาเปรียบได้มากเช่นกัน
      แม้ GPL 3 จะถูกวิจารณ์ว่าหนักมือเกินไป แต่ก็อย่างน้อยมีเจตนาจะป้องกันการเอาเปรียบ

  • มีคนกลุ่มหนึ่งที่สร้างซอฟต์แวร์ซึ่งกำหนดยุคสมัยโดยไม่คิดเงิน และอีกกลุ่มคือบริษัทที่ใช้มันเพื่อ สกัดมูลค่าทุกอย่างออกไป
    กลุ่มแรกขับเคลื่อนด้วยความรัก ส่วนกลุ่มหลังขับเคลื่อนด้วยธุรกรรม

    • ไม่ว่า Google จะทำอะไร งานวิจัยด้านความปลอดภัยนั้นมีประโยชน์ในตัวเอง เพียงแต่กับ FOSS ควรมีนโยบายที่ยืดหยุ่นกว่านี้
    • ถ้าเอา Google ไปเทียบกับสิ่งอื่นทั้งหมด ก็แทบไม่มีกรณีไหนที่การแยกแยะว่าใครดีใครร้ายจะง่ายเท่านี้
    • จะบอกว่าเป็น “ซอฟต์แวร์ที่กำหนดยุคสมัย” ก็ได้ แต่พูดตรง ๆ คือ คนที่รู้จัก FFmpeg จริง ๆ ไม่ได้มีมากนัก

  • สำหรับบริษัทใหญ่ การเปิดเผยช่องโหว่ต่อสาธารณะเป็นสิ่งจำเป็น แต่กับ OSS ที่ขาดแคลนทรัพยากร มันอาจสร้างความเสี่ยงมากกว่า

    • เพราะแบบนั้นฉันจึงคิดว่าสำหรับ FOSS นโยบายที่เหมาะสมคือ “เปิดเผยหลังจากมีแพตช์พร้อมแล้ว”
      ถ้า Google ต้องการให้มีการแก้ไขเร็วขึ้น การ ส่งแพตช์มาด้วย ก็จะเป็นประโยชน์กับทุกฝ่าย
    • แต่การปกปิดช่องโหว่เองก็มีความเสี่ยง
      โดยเฉพาะถ้าเป็น ช่องโหว่ที่ LLM สามารถค้นพบได้ ก็มีโอกาสสูงว่าสักวันจะถูกนำไปใช้โจมตี
      การเปิดเผยทำให้ผู้ใช้สามารถป้องกันตัวเองได้ และการที่ FFmpeg ตัดสินใจจะแก้ก็เป็นการเลือกด้วยความสมัครใจ
      งานวิจัยด้านความปลอดภัยในตัวมันเองก็เป็น รูปแบบหนึ่งของการมีส่วนร่วมที่มีต้นทุนสูง ต่อโอเพนซอร์ส
      การบอกนักวิจัยว่า “คุณมีส่วนร่วมไม่พอ” กลับคล้ายกับการเรียกร้องให้อาสาสมัครทำงานฟรีเสียเอง
    • ถ้าไม่เปิดเผย ผู้ใช้ก็จะเข้าใจผิดว่า “ไม่มีช่องโหว่”
      ความโปร่งใสของ FOSS กลับช่วยให้ผู้คนตระหนักเรื่องความปลอดภัยมากขึ้น
    • ในวงการความมั่นคงปลอดภัยสารสนเทศ มีความเชื่อสุดโต่งแพร่หลายว่า “ซอฟต์แวร์ที่ไม่ปลอดภัยไม่ควรมีอยู่
      ซึ่งไม่ยอมรับพื้นที่สีเทาในโลกความจริง

  • ถ้า “อีเมลหนึ่งฉบับหยุดสายผลิตภัณฑ์ได้สามตัว” จริง ฉันคิดว่า เงินสนับสนุนราว 10,000–20,000 ดอลลาร์ต่อปี ก็ถือเป็นค่าเบี้ยประกันที่คุ้มแล้ว

    • แต่พอมองที่ เรือยอชต์ของ Jeff Bezos ก็พอเดาได้ว่าเขาเขียนเช็คแบบไหน
      ถ้า Google กับ Amazon สนับสนุนกันคนละ 50,000 ดอลลาร์ FFmpeg ก็น่าจะทำให้ทีมพัฒนาทำงานได้มั่นคงขึ้น
      โดยเฉพาะ Google ที่ดูแล YouTube น่าจะจ่ายระดับ 100,000–200,000 ดอลลาร์ได้สบาย ๆ

  • ขอแชร์ เธรดบน Twitter ที่หัวหน้าฝ่ายความปลอดภัยของ Google สรุปรายการการมีส่วนร่วมต่อ FFmpeg

    • ดีที่ได้เห็นมุมมองของ Google โดยตรง แต่ก็น่าเสียดายที่พนักงานบางคนทั้งอดีตและปัจจุบัน ตอบโต้แบบไม่เป็นมืออาชีพ
    • ถ้าไม่ล็อกอิน Twitter จะเห็นได้แค่โพสต์แรก และแม้แต่โพสต์นั้นก็ยังฟังดูเหมือน คำแก้ตัวสไตล์องค์กร
      บริษัทมูลค่าระดับล้านล้านดอลลาร์จะบอกว่าขาดคนหรือขาดเงินนั้นฟังไม่ขึ้น

  • ฉันสงสัยว่าเป้าหมายของ Project Zero คืออะไรกันแน่
    อยากรู้ว่ามีเหตุผลมากกว่าแค่การหาช่องโหว่หรือไม่

    • โดยแก่นแท้แล้วมันคือ PR เป้าหมายคือสื่อสารว่า “การเปิดเผยอย่างรับผิดชอบ” ไม่ได้หมายความว่านักพัฒนาจะมีสิทธิ์ซ่อนบั๊กไว้ได้ไม่มีกำหนด
    • โครงการนี้เกิดจากความโกรธของ Google ต่อการดักฟังของ NSA หลังเหตุการณ์ Snowden
    • ในทางปฏิบัติ มันช่วยยกระดับความปลอดภัยของโอเพนซอร์ส เคอร์เนล และเฟิร์มแวร์หลายตัวที่ Google ใช้งานอยู่
      ขณะเดียวกันก็เป็นผลดีต่อ การดึงดูดบุคลากรด้านความปลอดภัยและการบริหารชื่อเสียง
      แต่ถ้ามีทรัพยากรมากพอจะทำแบบนั้นได้ ก็น่าจะลงทุนกับการเขียนแพตช์ด้วยเช่นกัน
    • สุดท้ายแล้ว เป้าหมายด้านการตลาด ก็มีน้ำหนักมาก นักวิจัยรู้สึกถึงความเป็นส่วนหนึ่ง และ Google ก็ได้ภาพลักษณ์ว่าเป็น “บริษัทที่ลงทุนด้านความปลอดภัย”

  • ช่องโหว่ที่เป็นประเด็นคือ Use After Free และ AI ของ Google เป็นคนพบมัน
    แต่การแก้เรื่องนี้อาจใช้เวลาไม่ถึง 3 วินาทีด้วยซ้ำ
    บริษัทที่มีเงินล้นเหลือแต่โยน รายงานบั๊กลักษณะสแปม ใส่โครงการอาสาสมัครนั้นน่าหงุดหงิด

    • แถมช่องโหว่นี้ยังอยู่ใน โคเด็กที่ปิดใช้งานโดยค่าเริ่มต้น อีกด้วย
      ไม่น่าถึงขั้นต้องจัดเป็น CVE แค่รายงานบั๊กธรรมดาก็น่าจะพอ
    • แน่นอนว่า มันไม่ได้ง่ายแค่ “เลื่อนการ free ออกไป”
      ถ้าจะป้องกัน memory leak ก็จำเป็นต้องแก้ที่ซับซ้อนกว่านั้น
      บางทีแนวทางที่ถูกต้องอาจเป็นการ ปิดใช้งานโคเด็กนี้โดยค่าเริ่มต้น
    • การกระทำแบบนี้ไม่ใช่แค่น่ารำคาญ แต่เป็น พฤติกรรมที่ขัดกับจิตวิญญาณของโอเพนซอร์ส
 
nobae 2025-11-13

ให้อะไรกินแล้วกลับมาทวงเอาห่อผ้าเลยนะ
รายงานบั๊กก็น่าจะเป็นการมีส่วนร่วมที่สำคัญอย่างแน่นอนเหมือนกัน...
 
bungker 2025-11-13

ให้ความรู้สึกประมาณว่ามีใครสักคนอาสาออกมาช่วยทำความสะอาดชุมชน แต่เจ้าถิ่นผู้ทรงอิทธิพลที่ถือครองที่ดินในละแวกนั้นมากที่สุดกลับไปบอกคนที่กำลังเก็บกวาดว่า ตรงมุมนั้นมีก้นบุหรี่อยู่ครับ
 
reagea0 2025-11-14

ผมก็คิดว่าอุปมานี้ตรงเหมือนกันนะ
 
chcv0313 2025-11-13

เป็นการเปรียบเทียบที่เหมาะสม
 
ifmkl 2025-11-13

มันสมควรโดนจริงเหรอ? อ่านดูแล้วก็เป็นช่องโหว่ความปลอดภัยระดับกลางที่มีผลเฉพาะใน 10–20 เฟรมแรกของเกมบางเกมแบบเฉพาะเจาะจงมากเท่านั้น แบบนี้คุณคิดจริง ๆ เหรอว่านี่เป็นการมีส่วนร่วมที่สำคัญต่อฝั่ง FFmpeg? การสนับสนุนที่สำคัญที่สุดต่อชุมชนโอเพนซอร์สน่าจะเป็นการช่วยอุดหนุนให้พัฒนาต่อได้อย่างมั่นคง โดยเฉพาะถ้าเป็นบริษัทที่ใช้งานผลงานนั้นอยู่มาก ก็น่าจะให้ความสำคัญกับเรื่องนั้นก่อนนะ?
 
hohemian 2025-11-13

ก็เพราะคนแบบนี้นี่แหละ ถึงมีการฝังแบ็กดอร์ลงไปใน XZ
 
secret3056 2025-11-13

รายงานบั๊กเองก็ถือว่าระดับ S จริงอยู่ แต่พอเอาเรื่องที่ไม่สามารถรับมือช่องโหว่ร้ายแรงของฟอร์แมตวิดีโอที่ใช้กันมาตั้งแต่สมัยประธานาธิบดีเคนเนดีได้ภายในเวลาที่กำหนดไปเที่ยวป่าวประกาศเสียทั่ว มันก็เป็นอีกเรื่องหนึ่ง

ไม่ได้ให้ของที่กินได้ แต่ยื่นของที่จำเป็นต้องกินมาให้ แล้วก็ถามว่าทำไมถึงกินไม่ทันภายในเวลา

ffmpeg มีบุคลากรจำกัด แต่ Google กลับเทรายงานบั๊กหลายสิบรายการของฟอร์แมตที่ทุกวันนี้แทบไม่ได้ใช้แล้วด้วย AI แล้วกดดันให้แก้ทั้งหมดภายในเวลาที่กำหนด แบบนี้มันถูกต้องหรือ?