أعلن فريق Rust Core و Mozilla نيتك في إنشاء مؤسسة رست ، منظمة مستقلة غير ربحية بنهاية العام الذي سيتم نقل الملكية الفكرية المرتبطة بمشروع Rust، بما في ذلك العلامات التجارية وأسماء المجالات المرتبطة بـ Rust و Cargo و crates.io.
المنظمة سيكون مسؤولاً أيضًا عن تنظيم تمويل المشروع. Rust and Cargo هي علامات تجارية مملوكة لشركة Mozilla قبل النقل إلى المؤسسة الجديدة وتخضع لقيود استخدام صارمة إلى حد ما ، مما يخلق بعض الصعوبات في توزيع الحزم في التوزيعات.
على وجه الخصوص ، تعليمات الاستخدام علامة موزيلا التجارية يحظرون الاحتفاظ باسم المشروع في حالة التغييرات أو التصحيحات.
يمكن للتوزيعات إعادة توزيع حزمة تسمى Rust and Cargo فقط إذا تم تجميعها من المصادر الأصلية ؛ بخلاف ذلك ، يلزم الحصول على إذن كتابي مسبق من فريق Rust Core أو تغيير الاسم.
تتداخل هذه الميزة مع الإزالة المستقلة السريعة للأخطاء ونقاط الضعف في الحزم مع Rust and Cargo دون تنسيق التغييرات مع المنبع.
يذكر أن تم تطوير Rust في الأصل كمشروع من قسم أبحاث موزيلا، والذي تم تحويله في عام 2015 إلى مشروع مستقل بإدارة مستقلة من Mozilla.
على الرغم من تطور Rust بشكل مستقل منذ ذلك الحين ، فقد قدمت Mozilla الدعم المالي والقانوني. ستنتقل هذه الأنشطة الآن إلى منظمة جديدة تم إنشاؤها خصيصًا لتنظيم Rust.
يمكن اعتبار هذه المنظمة موقعًا محايدًا غير تابع لـ Mozilla ، مما يسهل جذب شركات جديدة لدعم Rust وزيادة جدوى المشروع.
برنامج مكافآت جديد
إعلان آخر ما صدر عن موزيلا هو أنها توسع مبادرتها لدفع مكافآت نقدية لتحديد المشاكل الأمنية في Firefox.
بالإضافة إلى نقاط الضعف نفسها ، برنامج Bug Bounty الآن أيضا سيغطي طرق التحايل على الآليات متوفر في المتصفح يمنع عمليات الاستغلال من العمل.
وتشمل هذه الآليات نظام لتنظيف أجزاء HTML قبل استخدامها في سياق ذي امتيازات ، ومشاركة الذاكرة لعُقد DOM والسلاسل / ArrayBuffers ، وتعطيل EVAL () في سياق النظام وفي العملية الرئيسية ، تطبيق قيود CSP (سياسة الأمان) الصارمة على المحتوى) على صفحات الخدمة "about: config" ، والتي تحظر تحميل الصفحات بخلاف "chrome: //" و "Resource: //" و "about:" في العملية الرئيسية ، وتحظر تنفيذ التعليمات البرمجية JavaScript خارجي في العملية الرئيسية ، وتجاوز آليات المشاركة المميزة (المستخدمة لإنشاء واجهة المتصفح) ورمز JavaScript غير المميز.
يتم إعطاء التحقق المنسي لـ EVAL () في سلاسل Web Worker كمثال على خطأ يؤهل لدفع مكافأة جديدة.
إذا تم تحديد ثغرة أمنية وحُذفت آليات الحماية ضد المآثر ، قد يتلقى المحقق 50٪ إضافية من المكافأة الأساسية تم منحها للثغرة الأمنية المحددة (على سبيل المثال ، بالنسبة لثغرة UXSS التي تتجاوز آلية HTML Sanitizer ، سيكون من الممكن الحصول على 7,000 دولار بالإضافة إلى علاوة قدرها 3,500 دولار).
على وجه الخصوص ، توسيع برنامج المكافآت للباحثين المستقلين يحدث في سياق الفصل الأخير من 250 موظفًا من Mozilla ، والتي تضمنت فريق إدارة التهديدات بالكامل المسؤول عن الكشف عن الحوادث وتحليلها ، بالإضافة إلى جزء من فريق الأمان.
وبالإضافة إلى ذلك، تم الإبلاغ عن تغيير في قواعد تطبيق البرنامج مكافأة على نقاط الضعف التي تم تحديدها في البنيات الليلية.
وتجدر الإشارة إلى أنه غالبًا ما يتم اكتشاف هذه الثغرات الأمنية فورًا أثناء عملية الفحص الداخلي الآلي والاختبارات المربكة.
لا تعمل تقارير الأخطاء هذه على تحسين أمان Firefox أو آليات الاختبار المزعجة ، لذلك لن تتم مكافأة الإنشاءات الليلية إلا إذا كانت المشكلة موجودة في المستودع الرئيسي لأكثر من 4 أيام ولم يتم تحديدها من خلال المراجعات الداخلية وموظفي Mozilla.