Mozilla представи Фондацията за ръжда и нова програма за награди

Екипът на Rust Core и Mozilla обявиха вашето намерение да създадете Фондация Rust, независима организация с нестопанска цел до края на годината, до която интелектуалната собственост, свързана с проекта Rust, ще бъде прехвърлена, включително търговски марки и имена на домейни, свързани с Rust, Cargo и crates.io.

Организацията също ще отговаря за организирането на финансирането на проекта. Rust и Cargo са търговски марки, собственост на Mozilla преди прехвърлянето към новата организация и са обект на доста строги ограничения за използване, което създава известни трудности при разпространението на пакети в дистрибуции.

По-специално условия за ползване Запазена марка на Mozilla те забраняват запазването на името на проекта в случай на промени или корекции.

Разпределенията могат да преразпределят пакет с име Rust and Cargo само ако е съставен от оригиналните източници; в противен случай се изисква предварително писмено разрешение от екипа на Rust Core или промяна на името.

Тази функция пречи на бързото независимо отстраняване на грешки и уязвимости в пакетите с Rust и Cargo, без да координира промените с upstream.

Ръжда Linux

Спомнете си, че Първоначално Rust е разработен като проект от подразделението Mozilla Research, който през 2015 г. бе трансформиран в самостоятелен проект с независимо управление от Mozilla.

Въпреки че оттогава Rust се развива самостоятелно, Mozilla предоставя финансова и правна подкрепа. Тези дейности сега ще бъдат прехвърлени към нова организация, създадена специално за ръководството на Ръст.

Тази организация може да се разглежда като неутрален сайт, който не е от Mozilla, което улеснява привличането на нови компании в подкрепа на Rust и увеличаване на жизнеспособността на проекта.

Нова програма за награди

Още една реклама това, което Mozilla пусна е, че разширява своята инициатива за изплащане на парични награди за идентифициране на проблеми със сигурността във Firefox.

В допълнение към самите уязвимости, програмата Bug Bounty сега също ще обхваща методи за заобикаляне на механизмите налични в браузъра, които пречат на експлоитите да работят.

Тези механизми включват система за почистване на HTML фрагменти преди да се използва в привилегирован контекст, споделяне на памет за DOM възли и Strings / ArrayBuffers, дезавуиране на eval () в системния контекст и в основния процес, налагане на строги CSP (Политика за сигурност) ограничения. съдържание) до страниците за услуги "about: config", които забраняват зареждането на страници, различни от "chrome: //", "resource: //" и "about:" в основния процес, забранява изпълнението на код Външен JavaScript в основния процес, заобикаляне на привилегировани механизми за споделяне (използвани за създаване на интерфейс на браузъра) и непривилегирован JavaScript код.

Забравена проверка за eval () в нишките на Web Worker е дадена като пример за грешка, която отговаря на условията за плащане на нова награда.

Ако е идентифицирана уязвимост и механизмите за защита са пропуснати срещу подвизи, следователят може да получи допълнителни 50% от основната награда присъжда се за идентифицираната уязвимост (например за уязвимост на UXSS, която заобикаля механизма на HTML Sanitizer, ще бъде възможно да се получат 7,000 3,500 долара плюс надбавка от XNUMX XNUMX долара).

Mozilla
Свързана статия:
Mozilla стартира 250 служители, тъй като кризата продължава

По-специално разширяването на програмата за награди за независими изследователи се случва в контекста на неотдавнашното уволнение на 250 служители от Mozilla, който включваше целия екип за управление на заплахите, отговорен за откриването и анализа на инциденти, както и част от екипа за сигурност.

Освен това, отчита се промяна в правилата за прилагане на програмата награда за уязвимости, идентифицирани при нощни компилации.

Трябва да се отбележи, че тези уязвимости често се откриват незабавно по време на процеса на автоматизирани вътрешни проверки и размиващи тестове.

Тези отчети за грешки не подобряват защитата на Firefox или механизмите за тестване на размиване, така че нощните компилации ще бъдат възнаграждавани само за уязвимости, ако проблемът е присъствал в основното хранилище повече от 4 дни и не е бил идентифициран от вътрешни прегледи и служители на Mozilla.


Бъдете първите, които коментират

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.