FFmpeg menuntut Google: “Danai kami atau hentikan laporan bug”

• FFmpeg adalah framework open source inti untuk pemrosesan media di seluruh dunia, dan merupakan komponen penting yang digunakan oleh layanan utama seperti VLC, Chrome, dan YouTube
• Baru-baru ini, pemindai keamanan berbasis AI milik Google menemukan bug kecil terkait codec game dari tahun 1995, memicu kontroversi bahwa perusahaan besar membebankan beban berlebihan kepada pengembang sukarela
• Pihak FFmpeg menyatakan bahwa “proyek ini hampir sepenuhnya dipelihara oleh relawan”, dan berpendapat bahwa Google tidak seharusnya hanya mengirim laporan kerentanan, tetapi juga menyediakan patch atau dukungan finansial
• Google menekankan kontribusi keamanan yang transparan dengan mengacu pada kebijakan publik Project Zero dan program Patch Rewards, tetapi komunitas FFmpeg menunjukkan keterbatasan kompensasi dan kurangnya dukungan yang realistis
• Perdebatan ini menyoroti masalah banjir CVE yang dihasilkan AI dan keberlanjutan pemeliharaan open source, serta berlanjut menjadi diskusi tentang tanggung jawab perusahaan teknologi besar

Gambaran konflik antara FFmpeg dan Google

• FFmpeg adalah framework multimedia open source yang mendukung transcoding, pemutaran, dan streaming file audio dan video
  • Library inti seperti libavcodec dan libavformat digunakan oleh VLC, Kodi, Plex, Chrome, Firefox, YouTube, dan lainnya
  • Namun, seperti banyak proyek open source besar lainnya, FFmpeg juga mengalami kekurangan dana yang serius
• Di Twitter, muncul perdebatan antara FFmpeg, Google, Chainguard, dan para peneliti keamanan mengenai cara pengungkapan kerentanan keamanan dan siapa yang bertanggung jawab
  • Inti pembahasannya adalah bahwa banyak laporan kerentanan dalam jumlah besar yang dihasilkan AI sering kali bernilai praktis rendah

Awal kontroversi: bug kecil yang ditemukan AI Google

• Agen AI Google menemukan bug terkait decoding codec LucasArts Smush di FFmpeg
  • Masalah ini merupakan kerentanan tingkat menengah yang hanya memengaruhi 10–20 frame pertama dari game tahun 1995 Rebel Assault 2
  • Pengembang FFmpeg telah menambalnya, tetapi mengkritik laporan yang tidak efisien ini dengan menyebutnya “CVE slop”
• FFmpeg menyatakan “FFmpeg aims to play every video file ever made”, menegaskan target kompatibilitas sempurna, tetapi juga menyebut bahwa sebagian besar kodenya ditulis dalam bahasa assembly, sehingga sulit dipelihara

Beban para pemelihara open source

• Komunitas FFmpeg mengkritik bahwa perusahaan besar yang menggunakan FFmpeg, seperti Google, melemparkan beban perbaikan kerentanan kepada relawan yang tidak dibayar
  • Posisi mereka adalah bahwa Google seharusnya menyertakan patch atau dukungan finansial saat melaporkan kerentanan
• Sebagai kasus serupa, pemelihara libxml2, Nick Wellnhofer, menyatakan menghentikan pemeliharaan karena laporan keamanan berulang dari pihak ketiga
  • Ia mengatakan bahwa “tidak berkelanjutan bagi relawan tanpa bayaran untuk menghabiskan beberapa jam setiap minggu menangani isu keamanan”

Kontroversi kebijakan pengungkapan Project Zero Google

• Pada Juli 2025, Google Project Zero (GPZ) memperkenalkan kebijakan ‘** Reporting Transparency**’
  • Setelah kerentanan ditemukan, pengungkapan dilakukan dalam waktu 1 minggu, lalu batas waktu perbaikan 90 hari dimulai secara otomatis
  • Pengungkapan tetap berjalan meski patch belum siap, sehingga dikritik karena memberi tekanan berlebihan pada proyek yang bergantung pada relawan
• FFmpeg mempertanyakan, “Apakah adil jika AI menemukan masalah keamanan dalam kode hobi lalu menuntut relawan untuk memperbaikinya?”
• Walau program Patch Rewards Google memang ada, FFmpeg menunjukkan bahwa “batas tiga kasus per bulan dan sebagainya membuatnya tidak benar-benar membantu”

Sudut pandang yang bertolak belakang dan keberlanjutan open source

• Dan Lorenc dari Chainguard membela peran Google dengan mengatakan bahwa “pengungkapan kerentanan keamanan juga merupakan kontribusi terhadap barang publik digital”
  • Ia berargumen bahwa “Google adalah salah satu perusahaan yang paling aktif mendukung open source, dan perdebatan seperti ini justru bisa menjauhkan sponsor”
• Namun, pihak FFmpeg menegaskan bahwa mereka kekurangan tenaga dan dana untuk menangani banjir CVE yang dihasilkan AI
  • Para pakar keamanan mengakui bahwa pengungkapan kerentanan tetap diperlukan karena FFmpeg adalah komponen inti dari infrastruktur internet
• Di bagian akhir, artikel menekankan bahwa “tanpa dukungan nyata dari perusahaan besar, proyek open source inti tidak mungkin dipertahankan”, sambil mencontohkan kasus libxml2 untuk menyoroti perlunya struktur pendanaan yang berkelanjutan