Η ομάδα του Rust Core και η Mozilla ανακοίνωσαν την πρόθεσή σας να δημιουργήσετε το Rust Foundation, ένας ανεξάρτητος μη κερδοσκοπικός οργανισμός μέχρι το τέλος του έτους, στο οποίο η πνευματική ιδιοκτησία που σχετίζεται με το έργο Rust θα μεταφερθεί, συμπεριλαμβανομένων εμπορικών σημάτων και ονομάτων τομέα που σχετίζονται με Rust, Cargo και crates.io.
Η οργάνωση θα είναι επίσης υπεύθυνη για την οργάνωση της χρηματοδότησης του έργου. Τα Rust και Cargo είναι εμπορικά σήματα που ανήκουν στη Mozilla πριν από τη μεταφορά στον νέο οργανισμό και υπόκεινται σε αρκετά αυστηρούς περιορισμούς χρήσης, γεγονός που δημιουργεί ορισμένες δυσκολίες με τη διανομή πακέτων σε διανομές.
Συγκεκριμένα όροι χρήσης Εμπορικό σήμα Mozilla απαγορεύουν τη διατήρηση του ονόματος του έργου σε περίπτωση αλλαγών ή ενημερώσεων κώδικα.
Οι διανομές μπορούν να αναδιανείμουν ένα πακέτο με το όνομα Rust and Cargo μόνο εάν έχει συνταχθεί από τις αρχικές πηγές. Διαφορετικά, απαιτείται προηγούμενη γραπτή άδεια από την ομάδα του Rust Core ή αλλαγή ονόματος.
Αυτή η δυνατότητα παρεμποδίζει την ταχεία ανεξάρτητη απομάκρυνση σφαλμάτων και τρωτών σημείων σε πακέτα με Rust και Cargo χωρίς συντονισμό αλλαγών με ανάντη.
Θυμηθείτε αυτό Το Rust αναπτύχθηκε αρχικά ως έργο από το τμήμα Mozilla Research, το οποίο το 2015 μετατράπηκε σε αυτόνομο έργο με ανεξάρτητη διαχείριση από τη Mozilla.
Αν και η Rust έχει εξελιχθεί αυτόνομα από τότε, η Mozilla παρείχε οικονομική και νομική υποστήριξη. Αυτές οι δραστηριότητες θα μεταφερθούν τώρα σε έναν νέο οργανισμό που δημιουργήθηκε ειδικά για την επιμέλεια του Rust.
Αυτός ο οργανισμός μπορεί να θεωρηθεί ως ένας ουδέτερος ιστότοπος που δεν είναι Mozilla, καθιστώντας ευκολότερη την προσέλκυση νέων εταιρειών για την υποστήριξη του Rust και την αύξηση της βιωσιμότητας του έργου.
Νέο πρόγραμμα ανταμοιβών
Μια άλλη διαφήμιση τι κυκλοφόρησε ο Mozilla είναι ότι επεκτείνει την πρωτοβουλία της να πληρώσει χρηματικές ανταμοιβές για τον εντοπισμό προβλημάτων ασφαλείας στον Firefox.
Εκτός από τα ίδια τα τρωτά σημεία, το πρόγραμμα Bug Bounty και τώρα θα καλύψει μεθόδους για την παράκαμψη των μηχανισμών διαθέσιμο στο πρόγραμμα περιήγησης που εμποδίζει τη λειτουργία των εκμεταλλεύσεων.
Αυτοί οι μηχανισμοί περιλαμβάνουν ένα σύστημα για τον καθαρισμό θραυσμάτων HTML πριν χρησιμοποιηθεί σε προνομιακό περιβάλλον, κοινή χρήση μνήμης για κόμβους DOM και Strings / ArrayBuffers, απορρίπτοντας το eval () στο πλαίσιο του συστήματος και στην κύρια διαδικασία, επιβάλλοντας αυστηρούς περιορισμούς περιεχομένου CSP (Πολιτική Ασφαλείας) στο σελίδες υπηρεσίας "about: config", που απαγορεύει τη φόρτωση σελίδων διαφορετικών από το "chrome: //", "resource: //" και "about:" στην κύρια διαδικασία, απαγορεύει την εκτέλεση κώδικα Εξωτερική JavaScript στην κύρια διαδικασία, παρακάμπτοντας προνομιακοί μηχανισμοί κοινής χρήσης (χρησιμοποιούνται για τη δημιουργία της διεπαφής του προγράμματος περιήγησης) και μη προνομιακός κώδικας JavaScript.
Μια ξεχασμένη επιταγή για eval () στα νήματα του Web Worker δίνεται ως παράδειγμα σφάλματος που πληροί τις προϋποθέσεις για την πληρωμή μιας νέας ανταμοιβής.
Εάν εντοπιστεί μια ευπάθεια και οι μηχανισμοί προστασίας παραλείπονται ενάντια σε εκμεταλλεύσεις, ο ερευνητής μπορεί να λάβει επιπλέον 50% της βασικής ανταμοιβής απονεμήθηκε για την αναγνωρισμένη ευπάθεια (για παράδειγμα, για ευπάθεια UXSS που παρακάμπτει τον μηχανισμό απολύμανσης HTML, θα είναι δυνατή η λήψη 7,000 $ συν ένα ασφάλιστρο 3,500 $).
Συγκεκριμένα την επέκταση του προγράμματος ανταμοιβών για ανεξάρτητους ερευνητές συμβαίνει στο πλαίσιο της πρόσφατης απόλυσης 250 υπαλλήλων από τη Mozilla, η οποία περιελάμβανε ολόκληρη την ομάδα διαχείρισης απειλών που είναι υπεύθυνη για τον εντοπισμό και την ανάλυση συμβάντων, καθώς και μέρος της ομάδας ασφαλείας.
Επιπλέον, Αναφέρεται αλλαγή στους κανόνες εφαρμογής του προγράμματος ανταμοιβή για ευπάθειες που εντοπίζονται σε νυχτερινές κατασκευές.
Θα πρέπει να σημειωθεί ότι αυτές οι ευπάθειες εντοπίζονται συχνά αμέσως κατά τη διαδικασία αυτοματοποιημένων εσωτερικών ελέγχων και δοκιμών fuzzing.
Αυτές οι αναφορές σφαλμάτων δεν βελτιώνουν την ασφάλεια του Firefox ή τους μηχανισμούς δοκιμών fuzzing, επομένως οι νυχτερινές κατασκευές θα ανταμείβονται μόνο για τρωτά σημεία εάν το ζήτημα υπάρχει στο κύριο αποθετήριο για περισσότερες από 4 ημέρες και δεν έχει εντοπιστεί από εσωτερικές κριτικές και υπαλλήλους της Mozilla.