Igazának igaza volt, csak itt nem ez az érdekes :)
Egyrészről az egy valóban fontos, és hasznos dolog, hogy felkutassuk a sebezhetőségeket. Annak is van értelme, hogy ezt a gugli az elérhető eszközeivel fullba tolja, amennyire tudja, hiszen ha ő nem, hát majd más megcsinálja ezt az AIs turkálást, a lehetőség adott, értem, hogy elé kell menni.
Őszintén szólva én azt is értem, hogy a secu teamek olyan policykat tolnak -- és ez azért már nem új -- hogy jeleztük, van X idő, aztán public. Mert előtte azért egyáltalán nem volt példa nélküli, hogy a kedves vendorok meresztették a seggüket, hogy majd a következő fél éves releasebe, hopp kimaradt, plz még. És ezt egyébként jellemzően a nagyok csinálták, pl MS, akik egy ponton kénytelen voltak ezzel kezdeni valamit emiatt. (És persze azért a gugli kurva jó abban, hogy úgy csináljon public good-ot, hogy azért abból lehetőleg neki jó legyen, lásd pl cert transparency, aminek a "mellékhatása", hogy azonnal tud értesülni bármilyen új oldalról, vagy itt, hogy hát ezzel azért lehet zsarolni az MS-t).
A másik oldalról viszont ott van az, hogy ha megnézed, hogy a konkrét issue arról szól, hogy van egy 30 éves játékban egy spec codec, IRL kizárólag annak a videóit érint. Medium impact, ami valahogy high lett, mire CVE-t kapott. (8.7 pont, faszod)
Namost, egyrészt, ha ezt így elkezdi kiönteni magából a gugli, akkor azzal egészen konkrétan hülyére lehet baszni a CVE rendszert, amitől senkinek nem lesz jó, sőt. Lehet nem lenne baj, ha valaki gondolkozna azon, hogy ha lett kapacitás hirtelen arra, hogy az elmúlt 30 év felgyülemlett szénakazlát most jól át tudjuk túrni tűk után, akkor talán át kéne gondolni, hogy ezt hogy kell aztán kezelni. Mert ez most kicsit olyan, hogy ízlett a kétszer csípős mexikói kaja, beütött a tekila is, uh jó ötletnek tűnik belefosni a ventilátorba ...
Másrészt teljesen érthető a kiakadás, hogy jön a gugli, előkapar nagy tételben ilyen faszságokat, és elvárja, hogy te ezzel foglalkozz, de izibe ám, mert különben kiteszünk a publikus szégyenfalra. Csinálni meg valamit azoknak, aki pénzt keresnek vele, hát azt nem nagyon akarózik (I spent about a week at year at my time at @amazon preventing us from accidentally fucking over @FFmpeg. I usually had to start each conversation with "They are not a vendor, there is no NDA, we have no leverage, your VP has refused to help fund them, and they could kill three major product lines tomorrow with an email. So, stop, and listen to me...")
Őszintén szólva, ha én lennék az ffmpeg, lehet, hogy szépen széttárnám a kezem, és nem rohannék sehova. Ha lejár az idő, lejár az idő, majd lesz benne aktívnak jelzett CVE. Aztán majd mikor már elég sok lesz, akkor nyugodtan odamehet a gugli security másik lába mondjuk a youtubeosokhoz (vagy az amazon secusa a primeosokhoz), hogy hát ecsém, ez lukas mint a szita, ezt így nem használhatjátok, mi a terv? Aztán majd kiderül, hogy mégiscsak van erőforrás, vagy funding. Legalább arra, hogy megtanulja a tűkereső, hogy mi számít igazából mediumnak :) )
(Zárójel: én egyébként ezt a funding hisztit is kevésbé értem: megint csak, ha én lennék az ffmpeg, akkor speciel az a hátam közepére se hiányozna, hogy ilyenkor valaki jöjjön, hogy tessék itt egy csekk, de akkor most a hobiprojektedben időre CVE-ket fog kergetni, mint egy hasznos kis rabszolga.)