L'equip Rust Core i Mozilla han anunciat seva intenció de crear la Fundació Rust, una organització independent sense ànim de lucre per cap d'any, a la qual es transferirà la propietat intel·lectual associada amb el projecte Rust, Incloses les marques comercials i els noms de domini associats amb Rust, Càrrec i crates.io.
l'organització també serà responsable d'organitzar el finançament de el projecte. Rust i Càrrec són marques comercials propietat de Mozilla abans de la transferència a la nova organització i estan subjectes a restriccions d'ús bastant estrictes, el que crea certes dificultats amb la distribució de paquets en distribucions.
En particular, els termes d'ús de la marca registrada de Mozilla prohibeixen la retenció de el nom de el projecte en cas de canvis o pegats.
Les distribucions poden redistribuir un paquet amb el nom Rust and Càrrec només si es compila a partir de les fonts originals; en cas contrari, es requereix un permís previ per escrit de l'equip Rust Core o un canvi de nom.
Aquesta característica interfereix amb la ràpida eliminació independent d'errors i vulnerabilitats en paquets amb Rust i Càrrec sense coordinar els canvis amb upstream.
Recordem que Rust es va desenvolupar originalment com un projecte de la divisió Mozilla Research, Que el 2015 es va transformar en un projecte autònom amb una gestió independent de Mozilla.
Encara Rust ha evolucionat de forma autònoma des de llavors, Mozilla ha proporcionat suport financer i legal. Aquestes activitats ara es transferiran a una nova organització creada específicament per a la curadoria de Rust.
Aquesta organització pot veure com un lloc neutral que no pertany a Mozilla, el que facilita l'atracció de noves empreses per recolzar a Rust i augmentar la viabilitat de el projecte.
Nou programa de recompenses
Un altre dels anuncis que va donar a conèixer Mozilla és que està ampliant la seva iniciativa per pagar recompenses en efectiu per identificar problemes de seguretat en Firefox.
A més de les vulnerabilitats en si, el programa Bug Bounty ara també cobrirà mètodes per eludir els mecanismes disponibles al navegador que eviten que els gestes funcionin.
Aquests mecanismes inclouen un sistema per netejar fragments HTML abans de ser utilitzats en un context privilegiat, compartir memòria per nodes DOM i cadenes / ArrayBuffers, desautoritzar eval () en el context de sistema i en el procés principal, aplicar restriccions estrictes de CSP (Política de seguretat de contingut) a les pàgines de servei «about: config», que prohibeix la càrrega de pàgines que no siguin »chrome: //», »resource: //« i »about:» en el procés principal, prohibeix l'execució de codi JavaScript extern en el procés principal, sense passar pels mecanismes d'ús compartit amb privilegis (utilitzats per crear la interfície navegador) i codi JavaScript sense privilegis.
Un check oblidat per eval () en els fils de Treballador web es dóna com a exemple d'un error que qualifica per al pagament d'una nova recompensa.
Si s'identifica una vulnerabilitat i s'ometen els mecanismes de protecció contra gestes, l'investigador podrà rebre un 50% addicional de la recompensa base atorgada per la vulnerabilitat identificada (per exemple, per a una vulnerabilitat UXSS que eludeix el mecanisme HTML Sanitizer, serà possible rebre $ 7,000 més una prima de $ 3,500).
En particular, l'expansió del programa de recompenses per a investigadors independents es produeix en el context de l'recent acomiadament de 250 treballadors de Mozilla, que incloïa a tot l'Equip de gestió d'amenaces responsable de detectar i analitzar incidents, així com part de l'equip de seguretat.
A més, s'informa un canvi en les regles per aplicar el programa de recompenses a les vulnerabilitats identificades en les compilacions nightly.
Cal assenyalar que aquestes vulnerabilitats sovint es descobreixen immediatament durant el procés de comprovacions internes automatitzades i proves de fuzzing.
Aquests informes d'errors no milloren la seguretat del Firefox ni els mecanismes de prova de fuzzing, de manera que les compilacions nightly només seran recompensades per vulnerabilitats si el problema ha estat present en el repositori principal durant més de 4 dies i no ha estat identificat per revisions internes i empleats de Mozilla.