Tým Rust Core a Mozilla to oznámili váš záměr vytvořit Rust Foundation, nezávislá nezisková organizace do konce roku, ke kterému duševní vlastnictví spojené s projektem Rust bude převedeno, včetně ochranných známek a názvů domén souvisejících s Rust, Cargo a crates.io.
Organizace bude rovněž odpovědný za organizaci financování projektu. Rust a Cargo jsou ochranné známky vlastněné společností Mozilla před převodem na novou organizaci a podléhají poměrně přísným omezením používání, což vytváří určité potíže s distribucí balíčků v distribucích.
Zejména podmínky použití Ochranná známka Mozilla zakazují uchování názvu projektu v případě změn nebo oprav.
Distribuce mohou redistribuovat balíček s názvem Rust a Cargo pouze v případě, že je kompilován z původních zdrojů; jinak je nutný předchozí písemný souhlas týmu Rust Core nebo změna názvu.
Tato funkce narušuje rychlé nezávislé odstraňování chyb a slabých míst v balíčcích s Rust a Cargo bez koordinace změn s upstream.
Připomeňme si, že Rust byl původně vyvinut jako projekt z divize Mozilla Research, který byl v roce 2015 transformován do samostatného projektu s nezávislou správou od Mozilly.
Ačkoli se Rust od té doby vyvinul samostatně, Mozilla poskytla finanční a právní podporu. Tyto aktivity se nyní přenesou do nové organizace vytvořené speciálně pro Rustovu kuraci.
Na tuto organizaci lze nahlížet jako na neutrální web, který nepochází od Mozilly, což usnadňuje přilákání nových společností na podporu Rustu a zvýšení životaschopnosti projektu.
Nový program odměn
Další reklama co Mozilla vydala spočívá v tom, že rozšiřuje svou iniciativu vyplácení hotovostních odměn za identifikaci bezpečnostních problémů ve Firefoxu.
Kromě samotných zranitelností program Bug Bounty teď taky bude zahrnovat metody obcházení mechanismů dostupné v prohlížeči, které zabraňují zneužití v práci.
Mezi tyto mechanismy patří systém k čištění fragmentů HTML před použitím v privilegovaném kontextu, sdílení paměti pro uzly DOM a Strings / ArrayBuffers, deaktivace eval () v kontextu systému a v hlavním procesu, použití přísného obsahu CSP (Security Policy content) na stránky služeb „about: config“, který v hlavním procesu zakazuje načítání jiných stránek než „chrome: //“, „resource: //“ a „about:“, zakazuje provádění kódu Externí JavaScript v hlavním procesu, obchází privilegované sdílení mechanismy (slouží k vytvoření rozhraní prohlížeče) a neprivilegovaný kód JavaScript.
Zapomenutý šek na eval () ve vláknech Web Worker je uveden jako příklad chyby, která splňuje podmínky pro vyplacení nové odměny.
Pokud je zjištěna zranitelnost a ochranné mechanismy jsou vynechány proti vykořisťování, vyšetřovatel může získat dalších 50% základní odměny udělena za zjištěnou chybu zabezpečení (například za chybu zabezpečení UXSS, která obchází mechanismus HTML Sanitizer, bude možné získat 7,000 3,500 USD plus prémii XNUMX XNUMX USD).
Zejména rozšíření odměnového programu pro nezávislé výzkumné pracovníky dochází v souvislosti s nedávným propouštěním 250 zaměstnanců od společnosti Mozilla, která zahrnovala celý tým správy hrozeb odpovědný za detekci a analýzu incidentů, jakož i část bezpečnostního týmu.
Navíc, je nahlášena změna pravidel pro použití programu odměna za zranitelná místa identifikovaná v nočních verzích.
Je třeba poznamenat, že tyto chyby zabezpečení jsou často objeveny okamžitě během procesu automatizovaných interních kontrol a fuzzing testů.
Tyto zprávy o chybách nezlepšují zabezpečení prohlížeče Firefox ani fuzzing testovací mechanismy, takže noční sestavy budou za chyby zabezpečení odměňovány pouze v případě, že se problém v hlavním úložišti vyskytuje déle než 4 dny a nebyl identifikován interními kontrolami a zaměstnanci Mozilly.