linkmeup
@linkmeup_podcast
Не срач, а срачище!
Ибо воистину всё самое эпичное начинается с какой-то мелкой фигни. Тут даже не слишком понятно, как всё было, но, кажется, таймлайн текущего грандиозного воя в мире OSS примерно таков:
- Разрабы FFmpeg опубликовали патч для декодера LucasArts Smush кодека, потому что видосики из игры 1995 года Rebel Assault 2 теряли первые 10-20 фреймов
- Если у вас на лице сейчас написано «Чооооо???», то это у FFmpeg есть сверхидея: play every video file ever made. Словом, гики и красавчики. Всё без изменений.
- Где-то недалеко с этим товарищи из Google, вооружённые AI-анализаторами, находят очередную потенциальную дыру в ещё более затхлом и никому не нужном кодеке, актуальность которой ниже даже погрешности внутри шума – но дело сделано, CVE назначено, претензия высказана, и завертелся наш любимый вентилятор с субстанциями. Потому что каждая найденная уязвимость – это ОПАСНОСТЬ и надо СРОЧНО всё исправить.
- Товарищ, отвечающий за твитор ffmpeg, традиционно не сдерживает себя в эмоциях и пишет, что это типичный AI slop (т.е. сгенерированный нейронкой мусор) и сами знаете направление.
- Гугловые ИБ-бойцы поднимают вой, что их дело – обеспечение безопасности во всём мире, и не им решать, большая это уязвимость, опасная или нет, не их вообще дело. Им подсветили, где косяк, так что скажите спасибо и пилите фикс. Типа такого https://www.cvedetails.com/cve/CVE-2025-59733/
- Им прилетает ответочка, что если они так радеют за безопасность, так пусть и покажут, как код писать, и пришлют патч. А то засыпать бредовыми репортами от нейронок много ума не надо, а называть себя после этого специалистом в ИБ так и вообще грешно.
- И вообще, гугл этот ваш ворочает триллионами денег, а у них тут фановый опенсорс на энтузиазме. Где патчи, Лебовски? Если жаль денег, то пусть хоть кто-то код пишет.
На фоне, как нетрудно догадаться, образовалось два лагере недовольных. Первые давят на совесть, потому что ffmpeg натурально везде, и любая найденная в нём уязвимость – повод для серьёзного ахтунга.
Вторые отмечают, что это – всё ещё некоммерческий проект, бесплатный, открытый и всё такое прочее. Поэтому указывать его авторам, что делать как минимум неэтично. И вообще, если что-то не устраивает, то бери и исправляй. А если не можешь, то не используй.
https://news.ycombinator.com/item?id=45785291
На момент вечера понедельника драма далека от завершения и перекидывание фекалиями с обеих сторон идёт крайне активное.
Кстати, о проблеме AI slop ещё летом товарищ Штейнберг хорошо высказался https://daniel.haxx.se/blog/2025/07/14/death-by-a-thousand-slops/
А ещё можно вспомнить летнюю драму с libxml2, где единственный мейнтейнер после вала репортов от Positive Technologies сказал, что рот наоборот он всё это разгребать, что больше ничего поддерживать не будет, и натурально бросил проект. https://www.osnews.com/story/142614/libxml2-maintainer-ends-embargoed-vulnerability-reports-citing-unsustainable-burden/
Ибо воистину всё самое эпичное начинается с какой-то мелкой фигни. Тут даже не слишком понятно, как всё было, но, кажется, таймлайн текущего грандиозного воя в мире OSS примерно таков:
- Разрабы FFmpeg опубликовали патч для декодера LucasArts Smush кодека, потому что видосики из игры 1995 года Rebel Assault 2 теряли первые 10-20 фреймов
- Если у вас на лице сейчас написано «Чооооо???», то это у FFmpeg есть сверхидея: play every video file ever made. Словом, гики и красавчики. Всё без изменений.
- Где-то недалеко с этим товарищи из Google, вооружённые AI-анализаторами, находят очередную потенциальную дыру в ещё более затхлом и никому не нужном кодеке, актуальность которой ниже даже погрешности внутри шума – но дело сделано, CVE назначено, претензия высказана, и завертелся наш любимый вентилятор с субстанциями. Потому что каждая найденная уязвимость – это ОПАСНОСТЬ и надо СРОЧНО всё исправить.
- Товарищ, отвечающий за твитор ffmpeg, традиционно не сдерживает себя в эмоциях и пишет, что это типичный AI slop (т.е. сгенерированный нейронкой мусор) и сами знаете направление.
- Гугловые ИБ-бойцы поднимают вой, что их дело – обеспечение безопасности во всём мире, и не им решать, большая это уязвимость, опасная или нет, не их вообще дело. Им подсветили, где косяк, так что скажите спасибо и пилите фикс. Типа такого https://www.cvedetails.com/cve/CVE-2025-59733/
- Им прилетает ответочка, что если они так радеют за безопасность, так пусть и покажут, как код писать, и пришлют патч. А то засыпать бредовыми репортами от нейронок много ума не надо, а называть себя после этого специалистом в ИБ так и вообще грешно.
- И вообще, гугл этот ваш ворочает триллионами денег, а у них тут фановый опенсорс на энтузиазме. Где патчи, Лебовски? Если жаль денег, то пусть хоть кто-то код пишет.
На фоне, как нетрудно догадаться, образовалось два лагере недовольных. Первые давят на совесть, потому что ffmpeg натурально везде, и любая найденная в нём уязвимость – повод для серьёзного ахтунга.
Вторые отмечают, что это – всё ещё некоммерческий проект, бесплатный, открытый и всё такое прочее. Поэтому указывать его авторам, что делать как минимум неэтично. И вообще, если что-то не устраивает, то бери и исправляй. А если не можешь, то не используй.
https://news.ycombinator.com/item?id=45785291
На момент вечера понедельника драма далека от завершения и перекидывание фекалиями с обеих сторон идёт крайне активное.
Кстати, о проблеме AI slop ещё летом товарищ Штейнберг хорошо высказался https://daniel.haxx.se/blog/2025/07/14/death-by-a-thousand-slops/
А ещё можно вспомнить летнюю драму с libxml2, где единственный мейнтейнер после вала репортов от Positive Technologies сказал, что рот наоборот он всё это разгребать, что больше ничего поддерживать не будет, и натурально бросил проект. https://www.osnews.com/story/142614/libxml2-maintainer-ends-embargoed-vulnerability-reports-citing-unsustainable-burden/
Cvedetails
CVE-2025-59733 : When decoding an OpenEXR file that uses DWAA or DWAB compression, there's an imp
CVE-2025-59733 : When decoding an OpenEXR file that uses DWAA or DWAB compression, there's an implicit assumption that all image channels have the same pixel type (and
7 88 6.8K
Обсуждение 7
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram