开源社区的悲哀：前有苹果白嫖curl 现在微软试图白嫖FFmpeg

开源社区的悲哀：前有苹果白嫖curl 现在微软试图白嫖FFmpeg 昨天 FFmpeg 抱怨微软试图白嫖 (但这件事实际是发生在 2023 年 5 月份的)，FFmpeg 称 xz 项目 (就是前几天被植入后门的 xz-utils，差点造成世界级安全问题) 惨败的教训是，对维护和可持续发展的投资并不吸引人，而且也可能不会让管理人员升职，但多年来会得到千倍的回报 (这里应该指的是利用其他公司利用开源软件创造财富)。2024-04-03这件事的起因是 Microsoft Teams 团队遇到了一个问题，Windows 版 FFmpeg 4.2.3 + 版无法提取隐藏式字幕 eia-608 并将其转换为 srt 或 webvtt 格式，原本这只是一个比较常规的 BUG，按常规流程进行反馈、修复即可。微软工程师在提交 BUG 中将其描述为高优先级，因为它影响一个微软被广泛使用的软件，也就是 Teams，这个问题导致 Teams 无法在实时会议中成功捕获字幕。既然微软认为这是个对自己产品影响比较严重的产品并且将其标记为高优先级，所以 FFmpeg 团队认为找微软收点钱应该不过分吧，毕竟 FFmpeg 是个免费项目，志愿维护团队在无偿工作，如果微软愿意提供资金支持的话，为微软提供优先技术支持其实也不是不行。FFmpeg 向微软请求一份长期维护支持合同后，微软的回应是可以一次性支付几千美元，但不会提供长期支持合同，所以 FFmpeg 拒绝了这个几千美元的回应。Microsoft Teams 目前的用户数已经过亿，不过也在依赖于各种开源软件，FFmpeg 认为这种价值万亿美元的公司期望志愿者提供免费且紧急的支持可能会导致严重问题。不过这件事目前已经没有后续，最终 BUG 被修复了，微软的长期合同也是没有的。 ... PC版： 手机版：

FFmpeg 7.0开源多媒体框架 FFmpeg 释出了代号的 v7.0，距离上一个大版本号更新约 1 年 1 个月。主要新变化

FFmpeg 7.0 开源多媒体框架 FFmpeg 释出了代号的 v7.0，距离上一个大版本号更新约 1 年 1 个月。主要新变化包括：实验性的原生 VVC 解码器，IAMF 支持，多线程 ffmpeg CLI 工具等。该版本不向后兼容，移除了 6.0 版本前标记为弃用的 API，构建代码将需要 C11 兼容的编译器。本周值得一提与 FFmpeg 项目相关的一件事情是，一位微软开发者报告了一个 bug，希望开发者将其作为高优先级尽快修复，并表示愿意提供一次性的数千美元作为赞助费。FFmpeg 开发者认为如果微软项目依赖于 FFmpeg，那么应该签订一个长期支持合同。其他微软开发者指出，在微软签订合同是相当繁琐的，而微软内部有一个选择开源项目一次性资助数千美元的投票，急于修复代码的微软工程师可能认为后者更方便。来源 ， 频道：@kejiqu 群组：@kejiquchat

一名志愿者如何阻止恶意后门暴露全球Linux系统

一名志愿者如何阻止恶意后门暴露全球Linux系统 正如Ars Technica在其详尽的回顾中所指出的，罪犯一直在公开进行该项目，潜伏时间已两年有余。这个被植入 Linux 远程登录的漏洞只暴露了自己的一个密钥，因此可以躲过公共计算机的扫描。正如本-汤普森（Ben Thompson）在《战略》（Stratechery）杂志上写道："世界上绝大多数电脑都存在漏洞，却无人知晓"。XZ 后门被发现的故事始于 3 月 29 日凌晨 旧金山的微软开发人员安德烈斯-弗罗因德在 Mastodon 上发帖并向 OpenWall 的安全邮件列表发送了一封电子邮件，标题为"上游 xz/liblzma 中的后门导致 ssh 服务器被入侵"Freund 是 PostgreSQL（一种基于 Linux 的数据库）的"维护者"，他在过去几周的测试中发现了一些奇怪的现象。XZ压缩库的一部分 liblzma 的加密登录占用了大量 CPU。弗罗因德在 Mastodon 上写道，他使用的所有性能工具都没有发现任何问题。这立刻让他产生了怀疑，他想起了几周前一位Postgres用户对Valgrind（Linux检查内存错误的程序）的"奇怪抱怨"。经过一番调查，Freund 最终发现了问题所在。弗罗因德在邮件中指出："上游 xz 代码库和 xz 压缩包都被做了后门。恶意代码存在于 5.6.0 和 5.6.1 版本的 xz 工具和库中。"不久之后，企业级开源软件公司红帽（Red Hat）向 Fedora Rawhide 和 Fedora Linux 40 的用户发出了紧急安全警报。最终，该公司得出结论，Fedora Linux 40 测试版包含两个受影响的 xz 库版本。Fedora Rawhide 版本很可能也收到了 5.6.0 或 5.6.1 版本。请立即停止在工作或个人活动中使用任何 Fedora Rawhide 实例。Fedora Rawhide 将很快恢复到 xz-5.4.x，一旦恢复完成，Fedora Rawhide 实例就可以安全地重新部署了。尽管免费 Linux 发行版 Debian 的一个测试版包含了被破解的软件包，但其安全团队还是迅速采取了行动，将其恢复了原样。"Debian的Salvatore Bonaccorso在周五晚上向用户发出的安全警报中写道："目前还没有Debian稳定版本受到影响。弗罗因德后来确认，提交恶意代码的人是两名主要 xz Utils 开发人员之一，即 JiaT75 或 Jia Tan。"鉴于几周来的活动，提交者要么是直接参与其中，要么是他们的系统受到了相当严重的破坏。"弗罗因德在分析中写道："不幸的是，后者看起来不太可能，因为他们在各种列表上交流了上述'修复'方法。"JiaT75 是一个耳熟能详的名字：他们曾与 .xz 文件格式的原始开发者 Lasse Collin 并肩工作过一段时间。程序员拉斯-考克斯（Russ Cox）在他的事件时间轴页面中指出，2021 年 10 月，JiaT75 开始向 XZ 邮件列表发送看似合法的补丁。几个月后，该计划的其他部分开始展开，另外两个身份，Jigar Kumar 和 Dennis Ens，开始通过电子邮件向科林抱怨漏洞和项目发展缓慢。然而，正如Evan Boehs等人在报告中指出的，"Kumar"和"Ens"从未在 XZ 社区之外出现过，这让调查人员相信这两个人都是假冒的，他们的存在只是为了帮助贾炭就位，以交付被破解的代码。Jigar Kumar"向 XZ Utils 开发商施压，要求其放弃项目控制权的电子邮件"我对你的精神健康问题感到遗憾，但意识到自己的极限很重要。我知道这对所有贡献者来说都是一个业余项目，但社区需要更多。"恩斯在一条信息中写道，而库马尔则在另一条信息中说："在有新的维护者之前，不会有任何进展。"在这来来回回的过程中，柯林斯写道："我并没有失去兴趣，但主要由于长期的精神健康问题，也由于其他一些事情，我的照顾能力受到了相当大的限制"，并建议贾坦承担更大的角色。"他最后说："最好记住，这是一个无偿的业余项目。"来自"Kumar"和"Ens"的邮件持续不断，直到那年晚些时候，Tan 被添加为维护者，能够进行修改，并尝试将 backdoored 软件包以更权威的方式发布到 Linux 发行版中。xz 后门事件及其后果既体现了开放源代码的魅力，也是互联网基础设施中一个引人注目的漏洞。流行的开源媒体软件包 FFmpeg 的开发者在一条推文中强调了这一问题，他说："xz 事件表明，对无偿志愿者的依赖会导致重大问题。价值数万亿美元的公司希望从志愿者那里获得免费的紧急支持"。他们还带来了收据，指出他们是如何处理影响 Microsoft Teams 的"高优先级"漏洞的。"尽管微软依赖其软件，但该开发人员写道："在礼貌地要求微软提供长期维护的支持合同后，他们却提出一次性支付几千美元......维护和可持续发展方面的投资并不性感，可能不会给中层经理带来升职机会，但多年后会得到成千上万倍的回报"。关于"JiaT75"的幕后黑手、他们如何实施计划以及破坏程度的详细信息，正在被一大批开发人员和网络安全专业人员在社交媒体和在线论坛上挖掘出来。但是，这一切都离不开许多因使用安全软件而受益的公司和组织的直接资金支持。 ... PC版： 手机版：