FFmpeg’in gönüllü geliştiricileri, Google’ın yapay zekâ destekli güvenlik aracının projede yıllar önce yazılmış bir kod parçasında “nadir” bir hatayı işaretlemesinin ardından yeniden baskı altında. “Big Sleep” isimli araç yaz aylarında FFmpeg ve başka açık kaynak projelerde bir dizi zafiyet buldu; bu otomatik raporlar, “kim düzeltmeli?” tartışmasını alevlendirdi ve kurumsal şirketlerin gönüllü topluluklara yük bindirdiği eleştirilerini yeniden gündeme taşıdı.
Tartışmayı alevlendiren örnek: 1995 tarihli bir oyun kodeği
Gündemin odağındaki örneklerden biri, LucasArts’ın 1990’lardan kalma Smush/SANM video biçimini çözerken ortaya çıkan “use-after-free” türü bir hata. FFmpeg ekibi bunu yamaladı ancak yamayı, 1995 tarihli Rebel Assault 2’nin ilk 10–20 karesi için özel olarak hazırlamak zorunda kaldı. Geliştiriciler “FFmpeg’in hedefi, bugüne kadar üretilmiş her videoyu oynatabilmek” dese de, bu kadar eski ve dar kapsamlı bir kodun CVE puanı toplama uğruna gündeme gelmesi eleştirildi.
“Rapor değil, yama gönderin” çağrısı ve şeffaflık politikası
FFmpeg cephesi, güvenliği ciddiye aldıklarını ancak milyar dolarlık şirketlerin yapay zekâ ile buldukları açıkları çözümsüz şekilde gönüllülere yıkmasını adil bulmadıklarını söylüyor. Ekip, Google’ın gerçekten riskleri azaltmak istiyorsa raporla birlikte yama veya finansal destek göndermesi gerektiğini vurguluyor. Tartışma, Google Project Zero’nun Temmuz 2025’te başlattığı “Raporlama Şeffaflığı” denemesiyle daha da büyüdü: Google artık bir açığı bildirdikten yaklaşık bir hafta içinde etkilenen projeyi ve 90 günlük açıklama süresini kamuya duyuruyor; teknik ayrıntıları saklı tutsa da saat işlemeye başlıyor. Gönüllü bakım yapılan projeler bu takvimin üzerlerinde fazladan baskı yarattığını savunuyor.
Açık kaynak dünyasında kaynak darlığı yeni değil. Örneğin, web tarayıcıları ve Linux dağıtımlarında yaygın kullanılan libxml2’nin eski bakıcısı Nick Wellnhofer, üçüncü tarafların açığa dair taleplerine yetişmenin gönüllüler için sürdürülemez olduğunu söyleyerek görevden çekildi. FFmpeg topluluğu da benzer sebeplerle nitelikli katkıcılarını kaybetmekten endişeli.
Sonuç olarak mesele, “açıkları bulalım mı bulmayalım mı?” değil; otomasyon çağında sorumluluğun nasıl paylaşılacağı. Güvenlik araştırmacıları, saldırganların da benzer araçlar kullanabildiğini ve açıkların erkenden tespit edilmesinin kritik olduğunu hatırlatıyor. Geliştirici toplulukları ise büyük şirketlerin kullandıkları temel altyapılara düzenli fon, yama ve bakım desteği vermeden “açık yağmuru” estirmesinin sürdürülebilir olmadığını söylüyor.
Kaynak: www.techspot.com