Das Rust Core Team und Mozilla haben angekündigt Ihre Absicht, die zu erstellen Rust Foundation, eine unabhängige gemeinnützige Organisation bis Ende des Jahres, bis zu dem Das mit dem Rust-Projekt verbundene geistige Eigentum wird übertragen, einschließlich Marken und Domainnamen im Zusammenhang mit Rust, Cargo und crates.io.
Die Organisation wird auch für die Organisation der Finanzierung des Projekts verantwortlich sein. Rust und Cargo sind Marken von Mozilla vor der Übertragung an die neue Organisation und unterliegen recht strengen Nutzungsbeschränkungen, was zu Schwierigkeiten bei der Verteilung von Paketen in Distributionen führt.
Insbesondere, Nutzungsbedingungen Mozilla-Marke Sie verbieten die Beibehaltung des Projektnamens bei Änderungen oder Patches.
Distributionen können ein Paket mit dem Namen Rust and Cargo nur dann weitergeben, wenn es aus den Originalquellen kompiliert wurde. Andernfalls ist eine vorherige schriftliche Genehmigung des Rust Core-Teams oder eine Namensänderung erforderlich.
Diese Funktion beeinträchtigt die schnelle unabhängige Beseitigung von Fehlern und Schwachstellen in Paketen mit Rust und Cargo, ohne Änderungen mit Upstream zu koordinieren.
Daran erinnern, dass Rust wurde ursprünglich als Projekt entwickelt aus der Abteilung Mozilla Research, das 2015 zu einem eigenständigen Projekt mit unabhängiger Verwaltung von Mozilla wurde.
Obwohl sich Rust seitdem autonom weiterentwickelt hat, hat Mozilla finanzielle und rechtliche Unterstützung geleistet. Diese Aktivitäten werden nun auf eine neue Organisation übertragen, die speziell für die Kuration von Rust erstellt wurde.
Diese Organisation kann als neutrale Nicht-Mozilla-Site angesehen werden, was es einfacher macht, neue Unternehmen für die Unterstützung von Rust zu gewinnen und die Rentabilität des Projekts zu verbessern.
Neues Belohnungsprogramm
Eine andere Anzeige was Mozilla veröffentlicht hat ist, dass es seine Initiative erweitert, um Geldprämien für die Identifizierung von Sicherheitsproblemen in Firefox zu zahlen.
Zusätzlich zu den Sicherheitslücken selbst das Bug Bounty Programm jetzt auch wird Methoden zur Umgehung der Mechanismen behandeln im Browser verfügbar, die verhindern, dass Exploits funktionieren.
Diese Mechanismen umfassen Ein System zum Bereinigen von HTML-Fragmenten vor der Verwendung in einem privilegierten Kontext, zum Freigeben von Speicher für DOM-Knoten und Strings / ArrayBuffers, Deaktivieren von eval () im Systemkontext und Anwenden strenger CSP-Einschränkungen (Security Policy) auf den Inhalt Service-Seiten "about: config", die das Laden anderer Seiten als "chrome: //", "resource: //" und "about:" im Hauptprozess verbieten, verbieten die Codeausführung Externes JavaScript im Hauptprozess unter Umgehung Privilegierte Freigabemechanismen (zum Erstellen der Browser-Oberfläche) und nicht privilegierter JavaScript-Code.
Ein vergessener Check für eval () in Web Worker-Threads wird als Beispiel für einen Fehler angegeben, der für die Zahlung einer neuen Belohnung qualifiziert ist.
Wenn eine Sicherheitsanfälligkeit festgestellt wird und Schutzmechanismen entfallen gegen Heldentaten, Der Ermittler kann zusätzlich 50% der Grundbelohnung erhalten Wird für die identifizierte Sicherheitsanfälligkeit vergeben (z. B. für eine UXSS-Sicherheitsanfälligkeit, die den HTML Sanitizer-Mechanismus umgeht, können 7,000 USD plus eine Prämie von 3,500 USD erhalten werden).
Insbesondere, die Erweiterung des Belohnungsprogramms für unabhängige Forscher erfolgt im Zusammenhang mit der kürzlich erfolgten Entlassung von 250 Mitarbeitern von Mozilla, zu dem das gesamte Threat Management-Team, das für die Erkennung und Analyse von Vorfällen verantwortlich ist, sowie ein Teil des Sicherheitsteams gehörten.
Zusätzlich Eine Änderung der Regeln zur Anwendung des Programms wird gemeldet Belohnung für Schwachstellen, die in nächtlichen Builds identifiziert wurden.
Es ist zu beachten, dass diese Schwachstellen häufig sofort während automatisierter interner Überprüfungen und Fuzzing-Tests entdeckt werden.
Diese Fehlerberichte verbessern nicht die Firefox-Sicherheit oder die Fuzzing-Testmechanismen. Daher werden nächtliche Builds nur dann für Sicherheitslücken belohnt, wenn das Problem länger als 4 Tage im Haupt-Repository vorhanden war und von internen Überprüfungen und Mozilla-Mitarbeitern nicht identifiziert wurde.