Rust Core-teamet og Mozilla har annonceret din intention om at oprette Rust Foundation, en uafhængig nonprofitorganisation inden årets udgang, hvortil den intellektuelle ejendom, der er knyttet til Rust-projektet, overføres, herunder varemærker og domænenavne tilknyttet Rust, Cargo og crates.io.
Organisationen vil også være ansvarlig for at organisere finansieringen af projektet. Rust og Cargo er varemærker, der ejes af Mozilla inden overførslen til den nye organisation og er underlagt ret strenge brugsbegrænsninger, hvilket skaber nogle problemer med distributionen af pakker i distributioner.
Især vilkår for brug Mozilla varemærke de forbyder opbevaring af projektnavnet i tilfælde af ændringer eller programrettelser.
Distributioner kan kun omfordele en pakke med navnet Rust og Cargo, hvis den er kompileret fra de oprindelige kilder. Ellers kræves forudgående skriftlig tilladelse fra Rust Core-teamet eller en navneændring.
Denne funktion interfererer med den hurtige uafhængige fjernelse af fejl og sårbarheder i pakker med Rust og Cargo uden at koordinere ændringer med opstrøms.
Husk på, at Rust blev oprindeligt udviklet som et projekt fra Mozilla Research-divisionen, som i 2015 blev omdannet til et enkeltstående projekt med uafhængig ledelse fra Mozilla.
Selvom Rust har udviklet sig autonomt siden da, har Mozilla ydet økonomisk og juridisk støtte. Disse aktiviteter overføres nu til en ny organisation oprettet specielt til Rust's kuratering.
Denne organisation kan ses som et neutralt websted, der ikke er fra Mozilla, hvilket gør det lettere at tiltrække nye virksomheder til at støtte Rust og øge projektets levedygtighed.
Nyt belønningsprogram
En anden annonce hvad Mozilla udgav er, at det udvider sit initiativ til at betale kontantbelønning for at identificere sikkerhedsproblemer i Firefox.
Ud over selve sårbarhederne, Bug Bounty-programmet nu også vil dække metoder til at omgå mekanismerne tilgængelig i browseren, der forhindrer, at udnyttelse fungerer.
Disse mekanismer inkluderer et system til rensning af HTML-fragmenter, inden det bruges i en privilegeret sammenhæng, deling af hukommelse til DOM-noder og Strings / ArrayBuffers, afvisning af eval () i systemkonteksten og i hovedprocessen, håndhævelse af strenge CSP (Security Policy) -restriktioner. indhold) til servicesiderne "about: config", som forbyder indlæsning af andre sider end "chrome: //", "resource: //" og "about:" i hovedprocessen, forbyder udførelse af kode Ekstern JavaScript i hovedprocessen, omgå privilegerede delingsmekanismer (bruges til at oprette browsergrænsefladen) og ikke-privilegeret JavaScript-kode.
En glemt kontrol for eval () i Web Worker-tråde er givet som et eksempel på en fejl, der kvalificerer sig til betaling af en ny belønning.
Hvis der identificeres en sårbarhed og beskyttelsesmekanismer udelades mod udnyttelse, efterforskeren kan modtage yderligere 50% af basisbelønningen tildelt for den identificerede sårbarhed (for eksempel for en UXSS-sårbarhed, der omgår HTML Sanitizer-mekanismen, vil det være muligt at modtage $ 7,000 plus en præmie på $ 3,500).
Især udvidelsen af belønningsprogrammet for uafhængige forskere sker i sammenhæng med den nylige afskedigelse af 250 ansatte fra Mozilla, som omfattede hele Threat Management Team, der var ansvarlig for at opdage og analysere hændelser, samt en del af sikkerhedsteamet.
Derudover en ændring af reglerne for anvendelse af programmet rapporteres belønning for sårbarheder identificeret i natlige bygninger.
Det skal bemærkes, at disse sårbarheder ofte opdages straks under processen med automatiserede interne kontroller og fuzzing-tests.
Disse fejlrapporter forbedrer ikke Firefox-sikkerhed eller fuzzing-testmekanismer, så builds om natten vil kun blive belønnet for sårbarheder, hvis problemet har været til stede i hovedlageret i mere end 4 dage og ikke er blevet identificeret af interne anmeldelser og Mozilla-medarbejdere.