FFmpeg menuntut Google: “Danai kami atau hentikan laporan bug”

 (thenewstack.io)
15 poin oleh GN⁺ 2025-11-12 | 15 komentar | Bagikan ke WhatsApp
  • FFmpeg adalah framework open source inti untuk pemrosesan media di seluruh dunia, dan merupakan komponen penting yang digunakan oleh layanan utama seperti VLC, Chrome, dan YouTube
  • Baru-baru ini, pemindai keamanan berbasis AI milik Google menemukan bug kecil terkait codec game dari tahun 1995, memicu kontroversi bahwa perusahaan besar membebankan beban berlebihan kepada pengembang sukarela
  • Pihak FFmpeg menyatakan bahwa “proyek ini hampir sepenuhnya dipelihara oleh relawan”, dan berpendapat bahwa Google tidak seharusnya hanya mengirim laporan kerentanan, tetapi juga menyediakan patch atau dukungan finansial
  • Google menekankan kontribusi keamanan yang transparan dengan mengacu pada kebijakan publik Project Zero dan program Patch Rewards, tetapi komunitas FFmpeg menunjukkan keterbatasan kompensasi dan kurangnya dukungan yang realistis
  • Perdebatan ini menyoroti masalah banjir CVE yang dihasilkan AI dan keberlanjutan pemeliharaan open source, serta berlanjut menjadi diskusi tentang tanggung jawab perusahaan teknologi besar

Gambaran konflik antara FFmpeg dan Google

  • FFmpeg adalah framework multimedia open source yang mendukung transcoding, pemutaran, dan streaming file audio dan video
    • Library inti seperti libavcodec dan libavformat digunakan oleh VLC, Kodi, Plex, Chrome, Firefox, YouTube, dan lainnya
    • Namun, seperti banyak proyek open source besar lainnya, FFmpeg juga mengalami kekurangan dana yang serius
  • Di Twitter, muncul perdebatan antara FFmpeg, Google, Chainguard, dan para peneliti keamanan mengenai cara pengungkapan kerentanan keamanan dan siapa yang bertanggung jawab
    • Inti pembahasannya adalah bahwa banyak laporan kerentanan dalam jumlah besar yang dihasilkan AI sering kali bernilai praktis rendah

Awal kontroversi: bug kecil yang ditemukan AI Google

  • Agen AI Google menemukan bug terkait decoding codec LucasArts Smush di FFmpeg
    • Masalah ini merupakan kerentanan tingkat menengah yang hanya memengaruhi 10–20 frame pertama dari game tahun 1995 Rebel Assault 2
    • Pengembang FFmpeg telah menambalnya, tetapi mengkritik laporan yang tidak efisien ini dengan menyebutnya “CVE slop
  • FFmpeg menyatakan “FFmpeg aims to play every video file ever made”, menegaskan target kompatibilitas sempurna, tetapi juga menyebut bahwa sebagian besar kodenya ditulis dalam bahasa assembly, sehingga sulit dipelihara

Beban para pemelihara open source

  • Komunitas FFmpeg mengkritik bahwa perusahaan besar yang menggunakan FFmpeg, seperti Google, melemparkan beban perbaikan kerentanan kepada relawan yang tidak dibayar
    • Posisi mereka adalah bahwa Google seharusnya menyertakan patch atau dukungan finansial saat melaporkan kerentanan
  • Sebagai kasus serupa, pemelihara libxml2, Nick Wellnhofer, menyatakan menghentikan pemeliharaan karena laporan keamanan berulang dari pihak ketiga
    • Ia mengatakan bahwa “tidak berkelanjutan bagi relawan tanpa bayaran untuk menghabiskan beberapa jam setiap minggu menangani isu keamanan”

Kontroversi kebijakan pengungkapan Project Zero Google

  • Pada Juli 2025, Google Project Zero (GPZ) memperkenalkan kebijakan ‘** Reporting Transparency**’
    • Setelah kerentanan ditemukan, pengungkapan dilakukan dalam waktu 1 minggu, lalu batas waktu perbaikan 90 hari dimulai secara otomatis
    • Pengungkapan tetap berjalan meski patch belum siap, sehingga dikritik karena memberi tekanan berlebihan pada proyek yang bergantung pada relawan
  • FFmpeg mempertanyakan, “Apakah adil jika AI menemukan masalah keamanan dalam kode hobi lalu menuntut relawan untuk memperbaikinya?
  • Walau program Patch Rewards Google memang ada, FFmpeg menunjukkan bahwa “batas tiga kasus per bulan dan sebagainya membuatnya tidak benar-benar membantu”

Sudut pandang yang bertolak belakang dan keberlanjutan open source

  • Dan Lorenc dari Chainguard membela peran Google dengan mengatakan bahwa “pengungkapan kerentanan keamanan juga merupakan kontribusi terhadap barang publik digital
    • Ia berargumen bahwa “Google adalah salah satu perusahaan yang paling aktif mendukung open source, dan perdebatan seperti ini justru bisa menjauhkan sponsor”
  • Namun, pihak FFmpeg menegaskan bahwa mereka kekurangan tenaga dan dana untuk menangani banjir CVE yang dihasilkan AI
    • Para pakar keamanan mengakui bahwa pengungkapan kerentanan tetap diperlukan karena FFmpeg adalah komponen inti dari infrastruktur internet
  • Di bagian akhir, artikel menekankan bahwa “tanpa dukungan nyata dari perusahaan besar, proyek open source inti tidak mungkin dipertahankan”, sambil mencontohkan kasus libxml2 untuk menyoroti perlunya struktur pendanaan yang berkelanjutan

Bacaan terkait

15 komentar

 
carnoxen 2025-11-14

Jangan-jangan ini sampai berujung rusak seperti hubungan antara WordPress Foundation dan perusahaan WP Engine, ya?
 
nullptr 2025-11-14

Kelihatannya ini merupakan kelanjutan dari
https://daniel.haxx.se/blog/2024/…
Jika tulisan di atas adalah laporan yang sepenuhnya salah yang dikirim individu demi memburu bug bounty, maka kasus FFmpeg adalah laporan yang valid tetapi sepele yang dikirim perusahaan besar.
 
kimjoin2 2025-11-13

Apakah FFmpeg memang harus selalu menanggapi setiap hal yang ditunjukkan oleh Google?
 
roxie 2025-11-13

Sebenarnya meski dibilang, “mau dipublikasikan atau tidak, kalau merasa butuh ya perbaiki sendiri saja~”, juga sah-sah saja, tapi sepertinya proyek ini bisa berkembang sampai sejauh ini justru karena para maintainer-nya bukan orang dengan watak seperti itu.
 
kimjoin2 2025-11-14

Aha.... sepertinya yang Anda katakan benar.
Saya rasa saya terlalu memikirkannya dari sudut pandang saya sendiri.
Terima kasih atas masukannya!
 
furyheimdall 2025-11-13

Karena situasinya sampai membuat kerentanannya sendiri terungkap ke publik, sepertinya mereka tidak punya pilihan selain menanganinya.
 
kimjoin2 2025-11-14

Aha... ternyata ada sudut pandang seperti itu. Terima kasih sudah memberi tahu!
Jadi kerentanannya bisa dipublikasikan dan lalu dipakai untuk menyerang, ya ampun.
 
GN⁺ 2025-11-12
Opini Hacker News

  • Ada bagian dalam artikel yang menurutku menarik. Di Amazon, Mark Atwood harus menjelaskan kepada atasannya untuk menolak keputusan terkait FFmpeg dengan mengatakan, “mereka bukan vendor, tidak ada NDA, dan kita tidak punya pengaruh atas mereka.”
    Aku setuju dengan gagasan “jangan cuma bawa masalah, bawa juga solusinya,” tetapi kalau Google punya uang untuk menemukan bug, seharusnya mereka juga bisa mengeluarkan uang untuk memperbaikinya

    • Aku selalu mendukung agar perubahan pada perangkat lunak open source dikirim upstream.
      Dengan begitu kita tidak perlu bergantung pada patch privat, bisa membalas budi pada proyek yang sejak awal membantu kita, dan itu juga hal yang benar secara etis.
      Tapi dalam praktiknya, hambatan kepatuhan atau prosedur internal perusahaan sering membuat upstream menjadi sulit
    • Aku tidak paham maksud pernyataan “FFmpeg bisa menghentikan tiga lini produk AWS hanya dengan satu email.” Aku penasaran bagaimana tepatnya itu bisa terjadi
    • Masalahnya adalah “CVE slop” yang disebut dalam artikel. Kalau kualitas patch memang seperti itu, sepertinya perbaikannya juga akan butuh usaha yang cukup besar
    • Intinya adalah bahwa Google bukan mempekerjakan orang untuk mencari bug, melainkan menjalankan AI secara membabi buta

  • Aku membayangkan sebuah lisensi satir: jika karyawan perusahaan S&P500 ingin melaporkan bug, mereka harus menyumbang sejumlah uang, dan jika tidak membayar di atas jumlah tertentu, mereka tidak bisa mengharapkan tanggapan dalam jangka waktu tertentu.
    Perusahaan tidak pernah ragu menjalankan perangkat lunak secara tertutup atau beralih ke AGPL ketika itu lebih nyaman bagi mereka, jadi sekarang saatnya mereka membayar langsung

  • Sebagai maintainer open source, aku paham perasaan bahwa perusahaan besar seolah memaksakan kerja gratis dengan mengungkap masalah keamanan.
    Tapi pada kenyataannya, siapa pun pelapornya, isu keamanan itu tetap jadi masalah yang harus aku tangani.
    Tidak apa-apa kalau proyek tidak memprioritaskan keamanan, tetapi kalau begitu harus siap menanggung risiko reputasinya

    • Jika Google menemukan masalah tetapi tidak ada yang memperbaikinya, itu pada dasarnya sama saja dengan memberi riset kerentanan gratis kepada pelaku jahat. Proyek inti seperti FFmpeg sulit digantikan
    • Inti yang kutangkap adalah Google telah beralih ke kebijakan publikasi tanpa syarat setelah jangka waktu tertentu.
      Tuntutan perbaikan cepat masuk akal untuk perusahaan komersial, tetapi menerapkan tuntutan yang sama pada OSS berbasis sukarelawan tidak realistis
    • Menurut artikel, AI Google menemukan bug terkait codec LucasArts Smush di FFmpeg.
      Katanya bug itu hanya terjadi pada 10–20 frame pertama game dari tahun 1995, jadi menurutku menggolongkannya sebagai ‘keparahan sedang’ itu berlebihan.
      Ini terlihat seperti contoh yang membuang waktu maintainer
    • Yang penting bukan “siapa yang melaporkannya,” melainkan “seberapa penting isu itu sebenarnya.”
      Kalau masalahnya serius, bagus jika siapa pun memberi tahu; kalau remeh atau laporannya salah, ya abaikan saja.
      Pada akhirnya, proyek sendiri yang harus memutuskan bug mana yang akan diperbaiki
    • Tentu saja, akan paling ideal kalau Google juga mengirim patch saat mempublikasikan kerentanan

  • Aku mendukung posisi tim FFmpeg. Banyak perusahaan memakai FOSS hanya untuk cuci citra pemasaran, dan tidak benar-benar berkontribusi.
    Dulu orang-orang seperti itu mungkin hanya akan membajak, sekarang mereka bisa memakainya tanpa rasa bersalah berkat lisensinya

    • Tapi Google memang memberikan fuzzing berkelanjutan dan sumber daya engineering untuk FFmpeg.
      Menguji bahkan codec yang tidak mereka pakai secara internal adalah murni demi kepentingan publik.
      Tentu Google mampu memberi pendanaan lebih banyak ke FFmpeg, tetapi aku tidak setuju kalau dana itu diberikan langsung kepada maintainer yang sekarang
    • Karena alasan seperti ini, banyak juga yang menyoroti keterbatasan lisensi MIT.
      Memang bebas dipakai, tetapi juga membuka ruang untuk penyalahgunaan.
      GPL 3 sering dikritik berlebihan, tetapi setidaknya ada niat untuk mencegah eksploitasi

  • Ada orang-orang yang membuat perangkat lunak yang mendefinisikan zamannya secara gratis, dan ada perusahaan yang memakainya untuk mengekstrak seluruh nilainya.
    Yang pertama digerakkan oleh cinta, yang kedua oleh transaksi

    • Apa pun yang dilakukan Google, riset keamanan itu sendiri tetap bermanfaat. Hanya saja FOSS butuh kebijakan yang lebih fleksibel
    • Kalau membandingkan Google dengan yang lain, jarang ada kasus di mana membedakan yang baik dan yang buruk terasa semudah ini
    • Disebut “perangkat lunak yang mendefinisikan zamannya,” tapi jujur saja, tidak banyak orang yang tahu FFmpeg

  • Untuk perusahaan besar, pengungkapan kerentanan secara terbuka memang perlu, tetapi untuk OSS yang kekurangan sumber daya, risikonya bisa lebih besar

    • Karena itu menurutku untuk FOSS, kebijakan “publikasikan setelah patch siap” lebih cocok.
      Kalau Google ingin perbaikan cepat, akan lebih baik kalau mereka sekaligus mengirim patch, sehingga semua pihak diuntungkan
    • Tapi menyembunyikan kerentanan juga berbahaya.
      Terutama jika itu adalah jenis kerentanan yang bisa ditemukan LLM, kemungkinan besar suatu saat akan dieksploitasi.
      Berkat pengungkapan, pengguna bisa melindungi diri sendiri, dan keputusan FFmpeg untuk memperbaikinya adalah pilihan sukarela.
      Riset keamanan itu sendiri adalah bentuk kontribusi berbiaya tinggi terhadap open source.
      Mengatakan kepada peneliti bahwa “kontribusinya belum cukup” justru terdengar seperti menuntut kerja gratis dari sukarelawan
    • Kalau tidak diungkap, pengguna akan salah paham dan mengira “tidak ada kerentanan.”
      Transparansi FOSS justru membantu kesadaran keamanan
    • Di industri keamanan informasi, ada keyakinan ekstrem bahwa “perangkat lunak yang tidak aman seharusnya tidak boleh ada.”
      Mereka tidak mengakui adanya wilayah abu-abu di dunia nyata

  • “Kalau satu email bisa menghentikan tiga lini produk,” menurutku dukungan sekitar 10–20 ribu dolar per tahun saja sudah layak sebagai premi asuransi

    • Tapi kalau melihat yacht Jeff Bezos, kita jadi tahu bagaimana cara dia menulis cek.
      Andaikan Google dan Amazon masing-masing memberi dukungan 50 ribu dolar saja, para pengembang FFmpeg bisa bekerja dengan stabil,
      dan khususnya Google yang menjalankan YouTube mestinya bisa dengan mudah memberi sekitar 100–200 ribu dolar

  • Aku membagikan thread Twitter dari kepala keamanan Google yang merangkum kontribusi mereka ke FFmpeg

    • Menarik melihat posisi Google secara langsung. Tapi respons tidak profesional dari sebagian mantan dan karyawan saat ini cukup disayangkan
    • Kalau tidak login ke Twitter, yang terlihat cuma postingan pertama, dan itu pun terdengar seperti kalimat defensif korporat.
      Sulit dipercaya bahwa perusahaan bernilai satu triliun dolar kekurangan tenaga atau dana

  • Aku penasaran apa tujuan Project Zero.
    Aku ingin tahu apakah ada alasan lain selain sekadar menemukan kerentanan

    • Pada dasarnya ini soal PR. Pesan yang ingin disampaikan adalah bahwa “pengungkapan yang bertanggung jawab” tidak berarti pengembang boleh menyembunyikan bug tanpa batas waktu
    • Proyek ini dibuat Google setelah skandal Snowden, ketika mereka marah atas penyadapan NSA
    • Dalam praktiknya, ini membantu memperkuat keamanan berbagai open source, kernel, dan firmware yang digunakan Google.
      Sekaligus juga menguntungkan untuk merekrut talenta keamanan dan mengelola reputasi.
      Tapi kalau punya keleluasaan sejauh itu, menurutku mereka juga harus berinvestasi dalam penulisan patch
    • Pada akhirnya, tujuan pemasarannya juga besar. Para peneliti merasa punya sense of belonging, dan Google mendapat citra sebagai “perusahaan yang berinvestasi pada keamanan”

  • Kerentanan yang dimaksud adalah Use After Free, dan ditemukan oleh AI Google.
    Tapi memperbaikinya seharusnya bahkan tidak butuh 3 detik.
    Menjengkelkan melihat perusahaan yang berlimpah uang melempar laporan bug bernada spam ke proyek sukarelawan

    • Selain itu, kerentanan tersebut ada pada codec yang dinonaktifkan secara default.
      Rasanya itu bahkan tidak sampai level untuk diklasifikasikan sebagai CVE; laporan bug biasa sudah cukup
    • Tentu saja, tidak sesederhana “tinggal tunda free.”
      Untuk mencegah kebocoran memori, dibutuhkan perbaikan yang lebih rumit.
      Mungkin memang arah yang tepat adalah membuat codec ini tetap nonaktif secara default
    • Perilaku seperti ini bukan cuma menjengkelkan, tapi juga bertentangan dengan semangat open source
 
nobae 2025-11-13

Sudah dikasih makan, sekarang malah minta seluruh buntalannya diserahkan.
Laporan bug jelas juga kontribusi yang penting, sih...
 
bungker 2025-11-13

Rasanya seperti ada seseorang yang sukarela membersihkan lingkungan, lalu orang terpandang yang paling banyak memiliki tanah di lingkungan itu berkata kepada orang yang membersihkan, "di sudut sana ada puntung rokok."
 
reagea0 2025-11-14

Saya juga merasa analogi ini memang tepat.
 
chcv0313 2025-11-13

Itu analogi yang tepat.
 
ifmkl 2025-11-13

Apa ini memang layak dipermasalahkan? Kalau dibaca, ini hanya celah keamanan tingkat menengah yang valid hanya pada 10~20 frame pertama dari game lawas tertentu. Apakah Anda benar-benar menganggap ini kontribusi penting bagi FFmpeg? Kontribusi paling penting bagi komunitas open source adalah memberikan dukungan agar pengembangan yang stabil bisa terus berlangsung; terutama jika itu perusahaan yang sangat memanfaatkan hasil karya tersebut, rasanya itu seharusnya menjadi prioritas.
 
hohemian 2025-11-13

Karena orang seperti inilah backdoor disisipkan ke XZ.
 
secret3056 2025-11-13

Laporan bug-nya sendiri memang kelas S, tetapi mereka juga menyebarkan kabar ke mana-mana bahwa FFmpeg gagal menangani dalam tenggat waktu kerentanan serius pada format video yang dipakai sejak zaman Presiden Kennedy.

Yang diberikan bukan sesuatu yang bisa dimakan, melainkan sesuatu yang harus dimakan, lalu mereka bertanya kenapa itu tidak bisa dihabiskan dalam tenggat waktu.

FFmpeg punya tenaga kerja yang terbatas, jadi apakah benar Google menumpahkan puluhan laporan bug untuk format yang kini bahkan nyaris tidak dipakai lagi dengan AI, lalu menekan agar semuanya diperbaiki dalam tenggat waktu?