Najavili su tim Rust Core i Mozilla vaša namjera je stvoriti Rust Foundation, neovisna neprofitna organizacija do kraja godine, na koji intelektualno vlasništvo povezano s projektom Rust bit će preneseno, uključujući zaštitne znakove i imena domena povezanih s Rustom, Cargoom i crates.io.
Organizacija takođe će biti odgovoran za organizaciju finansiranja projekta. Rust and Cargo su zaštitni znakovi u vlasništvu Mozille prije prijenosa u novu organizaciju i podliježu prilično strogim ograničenjima upotrebe, što stvara određene poteškoće s distribucijom paketa u distribucijama.
Posebno pravila korištenja Zaštitni znak Mozilla zabranjuju zadržavanje naziva projekta u slučaju promjena ili zakrpa.
Distribucije mogu redistribuirati paket pod nazivom Rust and Cargo samo ako je sastavljen iz izvornih izvora; u suprotnom, potrebno je prethodno pismeno odobrenje tima Rust Core ili promjena imena.
Ova značajka ometa brzo neovisno uklanjanje grešaka i ranjivosti u paketima s Rustom i Cargoom bez koordiniranja promjena s uzvodnim protokom.
Zapamtite to Rust je prvobitno razvijen kao projekat iz divizije Mozilla Research, koji je 2015. godine postao samostalni projekat sa nezavisnim menadžmentom iz Mozile.
Iako se Rust od tada autonomno razvijao, Mozilla je pružala finansijsku i pravnu podršku. Ove aktivnosti će se sada prenijeti na novu organizaciju stvorenu posebno za rustovanje.
Ova organizacija se može gledati kao neutralna web lokacija koja nije Mozilla, što olakšava privlačenje novih kompanija koje podržavaju Rust i povećava održivost projekta.
Novi program nagrađivanja
Još jedan oglas ono što je Mozilla pustila je da proširuje svoju inicijativu za isplatu novčanih nagrada za prepoznavanje sigurnosnih problema u Firefoxu.
Pored samih ranjivosti, program Bug Bounty sada takođe obuhvatiće metode za zaobilaženje mehanizama dostupni u pregledniku koji sprečavaju eksploataciju.
Ovi mehanizmi uključuju sistem za čišćenje HTML fragmenata prije upotrebe u privilegiranom kontekstu, dijeljenje memorije za DOM čvorove i Strings / ArrayBuffers, onemogućavanje eval () u sistemskom kontekstu i u glavnom procesu, primjenu strogih CSP (Security Policy) sadržaja) servisne stranice "about: config", koje zabranjuju učitavanje stranica koje nisu "chrome: //", "resource: //" i "about:" u glavnom procesu, zabranjuje izvršavanje koda Vanjski JavaScript u glavnom procesu, zaobilazeći privilegirani mehanizmi dijeljenja (koriste se za kreiranje sučelja preglednika) i ne privilegirani JavaScript kôd.
Zaboravljeni ček za eval () u nitima Web Worker naveden je kao primjer greške koja ispunjava uvjete za isplatu nove nagrade.
Ako se utvrdi ranjivost a izostavljeni su zaštitni mehanizmi protiv podviga, Istražitelj može dobiti dodatnih 50% osnovne nagrade dodijeljena za identificiranu ranjivost (na primjer, za UXSS ranjivost koja zaobilazi mehanizam HTML Sanitizer, moći će se dobiti 7,000 USD plus 3,500 USD premije)
Posebno proširenje programa nagrađivanja za nezavisne istraživače događa se u kontekstu nedavnog otpuštanja 250 zaposlenih iz Mozille, koji je obuhvatio cijeli tim za upravljanje prijetnjama odgovoran za otkrivanje i analizu incidenata, kao i dio sigurnosnog tima.
Takođe, izvještava se o promjeni pravila za primjenu programa nagrada za ranjivosti identificirane u noćnim gradnjama.
Treba napomenuti da se ove ranjivosti često otkrivaju odmah tokom procesa automatskih internih provjera i fuzzing testova.
Ovi izvještaji o greškama ne poboljšavaju Firefoxovu sigurnost ili nejasne mehanizme testiranja, pa će se noćne gradnje nagrađivati za ranjivosti samo ako je problem prisutan u glavnom spremištu duže od 4 dana i nisu ga identificirali interni pregledi i zaposlenici Mozille.