Log for Ubuntu 台灣社群

(つ`ω´)つ

FFmpeg 向 Google 說：要不資助我們，要不別再送漏洞報告（★ 181 分）

FFmpeg 是一套由社群志工幾乎全程開發的開放原始碼多媒體框架，負責音訊與影片的轉檔、播放、編輯、串流與後製特效，並廣泛被 VLC、Kodi、Plex、Google Chrome、Firefox 乃至 YouTube 等平臺採用。由於這些維護工作幾乎不受任何經費支持，FFmpeg 長期面臨「人人用、沒人付」的窘境。日前一支 Google AI 程式偵測到一支解碼 1995 年遊戲 Rebel Assault 2 所用 LucasArts Smush 編碼的小眾漏洞（CVE, Common Vulnerabilities and Exposures；通用漏洞與曝險編號），FFmpeg 團隊雖已由志工提交補丁，仍對這種「AI slop（人工智慧亂槍打鳥）報告」表達不滿，並質疑千億美金規模的大企業不應僅拿漏洞當籌碼，卻不提供修補資源。

這場矛盾始於 Google Project Zero（GPZ；專注公開安全漏洞的白帽團隊）今年七月試行的「揭露透明度（Reporting Transparency）政策」，規定在發現漏洞後一週內即對相關專案發出「已有漏洞但尚未公布細節」的通知，並在 90 天後強制公開詳細資訊，不論補丁是否完善。FFmpeg 在推特強調社群成員都是志工，難以在如此緊湊時程內完成深度程式碼審查與測試；前 libxml2 維護者 Nick Wellnhofer 也曾因類似壓力宣布卸任，指出「沒有任何金錢或人力補償，長期下來無法持續」。

在 Hacker News 討論串中，有人認為對小型、資源匱乏的開放原始碼專案提前公開漏洞，只會帶來更多惡意攻擊風險，因為駭客能利用已知 CVE 發動 zero-day（零時差）攻擊；也有人反駁稱，若不公布漏洞，就等於對使用者隱瞞危險，讓系統長期暴露於不確定風險。多數評論認同：無論漏洞由誰舉報，專案都必須自行判斷與修補；若真有能力挖掘漏洞的大企業，應該同步提供補丁或直接資助專案，而非把所有修復工作丟給社群志工。

也有討論建議，FFmpeg 可考慮為企業使用者導入商業支持合約或雙重授權模式，讓大公司按使用量付費，確保志工維護者獲得合理報酬；或直接由 Google、Amazon 之類企業設立專責團隊、提交補丁並回饋主線程式碼庫。面對 AI 自動化帶來的漏洞洪流與 90 天公開壓力，唯有結合公司資源與志工貢獻，才能兼顧安全性與開放原始碼專案的永續經營。

👥 110 則討論、評論 💬
https://news.ycombinator.com/item?id=45891016

pm 12:16:29

(つ`ω´)つ

🧑‍💻 全球各組織在 2025 年平均每週遭受 1,948 次網路攻擊，
但台灣每週平均竟然高達 4,055 次——不只遠高於全球，甚至位居亞太之首！
看到這個數字，你是不是也嚇了一跳？
而在第一線承受這些網路攻擊的，也包含默默守護公民空間的 NGO 團體。
台灣向來是國際公民運動的重要倡議基地，因此 OCF 也長期與社群合作，陪伴公民團體一起提升防禦能力、強化資安韌性。

去年，我們發布《台灣人權民主倡議團體數位威脅概況》研究報告（連結見留言），
訪談 35 個台灣 NGO，帶大家深入了解公民社會真實的資安挑戰。
📌報告重點摘要：
➡️ NGO 多靠「拼裝」組成數位基礎設施，管理與維護困難重重
➡️ 多數受訪者認為「外國威權政府」是主要潛在攻擊者
➡️ 最常遭遇的數位攻擊包括：社群媒體騷擾、釣魚嘗試

想知道如何一起守護公民社會的資安？請持續關注並支持開放文化基金會！

報告摘要（僅提供中文版）https://drive.google.com/file/d/1sxAFmSiJL6DzdO3ezq_hJSBROuGXNLAA/view

報告全文（僅提供英文版）https://drive.google.com/file/d/1VV12Rp7IKkWexNTKQRuWIA4Zfd8ztN9X/view

您會關心這篇貼文，就是和我們一樣關心開放科技的推動，是開源社群的超級英雄我們需要更多人關心數位資安、網路自由（言論自由、平台治理)，以及我們持續關注的開放資料與 AI 議題。歡迎訂閱 OCF 電子報，隨時取得最新消息。https://ocf.tw/subocf

Synology 產品零日遠端執行程式碼漏洞

via 香港網絡安全事故協調中心資安快訊 -- 警報及博錄頻道 https://www.hkcert.org/tc/security-bulletin/synology-products-zero-day-remote-code-execution-vulnerability_20251112

pm 07:06:22

林博仁 Buo-ren Lin

https://www.phoronix.com/news/Ubuntu-Server-25.10-amd64v3?fbclid=IwVERTSAOBSXJleHRuA2FlbQIxMABzcnRjBmFwcF9pZAwzNTA2ODU1MzE3MjgAAR6VKmx_S9DvPSqUcvm2VAGcW94XpuNj4ThjYwIWxRDdUd_xT8ghhjFq80QbNg_aem_EP27_YD62h3bZL45-7hRQg&sfnsn=mo

AI 資料中心觸發 HDD 短缺，硬碟交貨期拉長至兩年（★ 54 分）

AI 大規模建置資料中心的熱潮讓記憶體與儲存供應跟不上腳步，DRAM (動態隨機存取記憶體) 價格在數月內飆升逾一倍，如今連企業等級硬碟（HDD）交貨時間也拉長至兩年。由於大型網路服務商（hyperscalers）無法等待這麼久，紛紛轉向採用 QLC (四層電晶體儲存) NAND 快閃記憶體固態硬碟（SSD）作為近線儲存，以兼顧成本與耐久度。這股需求激增反過來又造成 QLC NAND 供不應求，許多廠商的出貨量已預訂至 2026 年底。

在這波儲存市場的劇烈變動下，使用 QLC SSD 的價值機種價格也隨之攀升。根據 DigiTimes 報導，SanDisk 已調漲 NAND 售價 50％，先前才警告將增幅限制在 10％。市場普遍預期，QLC 將在 2027 年初超越 TLC (三層電晶體儲存) 成為主流儲存規格，標誌整個儲存生態的大轉移。儘管廠商向 AI 客戶傾斜產能，但留給消費市場的緩衝已從數月縮至僅數週，讓一般 PC 使用者和電子產品面臨新一波缺料壓力。

Hacker News 社群指出，三星電子、Kioxia、SK hynix 及美光（Micron）等主要 NAND 快閃記憶體廠商，為了維持高利潤，今年刻意將晶圓產能下修 7–10％，如同一個「記憶體出口國組織（OMEC，Organization of Memory Exporting Countries）」一般限定供應。其中美光在新加坡的最大 NAND 產線依舊採取保守產能姿態，而位於美國的新製程廠要到 2027 年才能量產，有望稍緩供給吃緊。

討論中也提到，像 Apple 這類透過長期合約與預付款確保元件的企業，雖有一定議價與存貨優勢，仍難完全擺脫市場波動帶來的元件漲價。部分使用者甚至預見，若 AI 投資泡沫破滅，未來可能出現大量翻新 HDD 與 GPU 流入二手市場，才讓一般消費者迎來硬體採購、價格暫時回歸的機會。但在那之前，從記憶體到儲存裝置，普遍都將面臨更長的交貨期與更高的成本壓力。

👥 37 則討論、評論 💬
https://news.ycombinator.com/item?id=45896707

大量 ai 生成的垃圾資料

https://www.reddit.com/r/Ubuntu/s/IvRBD06etX