Rust Core meeskond ja Mozilla on teatanud teie kavatsus luua Rust Foundation, sõltumatu mittetulundusühing aasta lõpuks, kuhu antakse üle Rust projektiga seotud intellektuaalne omand, sealhulgas Rust, Cargo ja crates.io seotud kaubamärgid ja domeeninimed.
Organisatsioon vastutab ka projekti rahastamise korraldamise eest. Rust ja Cargo on enne uuele organisatsioonile üleminekut Mozilla omanduses olevad kaubamärgid ja nende suhtes kehtivad üsna ranged kasutuspiirangud, mis tekitab mõningaid raskusi pakettide levitamisel jaotustes.
Eelkõige kasutustingimused Mozilla kaubamärk nad keelavad projekti nime säilitamise muudatuste või plaastrite korral.
Levitused saavad Rust and Cargo nimelise paketi ümber jagada ainult siis, kui see on koostatud algallikatest; muul juhul on vajalik Rust Core meeskonna eelnev kirjalik luba või nime muutmine.
See funktsioon häirib vigade ja haavatavuste kiiret sõltumatut eemaldamist Rust and Cargo pakettides, muutusi koosvoolu kooskõlastamata.
Tuletame meelde, et Algselt töötati rooste välja projektina Mozilla teadusosakonnast, mis muudeti 2015. aastal iseseisvaks projektiks, mille juhtimine oli Mozillast sõltumatu.
Kuigi Rust on sellest ajast alates autonoomselt arenenud, on Mozilla pakkunud rahalist ja õiguslikku tuge. Need tegevused lähevad nüüd üle uuele organisatsioonile, mis on loodud spetsiaalselt Rusti kureerimiseks.
Seda organisatsiooni võib vaadelda kui neutraalset saiti, mis pole Mozilla, hõlbustades uute ettevõtete ligimeelitamist Rusti toetamiseks ja projekti elujõulisuse suurendamiseks.
Uus preemiaprogramm
Teine reklaam mida Mozilla välja andis on see, et ta laiendab oma algatust maksta rahalisi hüvesid Firefoxi turvaprobleemide tuvastamise eest.
Lisaks haavatavustele endile Bug Bounty programmi nüüd ka hõlmab meetodeid mehhanismidest kõrvalehoidmiseks brauseris saadaval, mis takistab ärakasutamise toimimist.
Nende mehhanismide hulka kuuluvad: süsteem HTML-fragmentide puhastamiseks enne privilegeeritud kontekstis kasutamist, DOM-sõlmede ja Strings / ArrayBuffers-i mälu jagamiseks, eval () keelamiseks süsteemi kontekstis ja põhiprotsessis, teenuse suhtes range CSP (turbepoliitika sisu) rakendamine pages "about: config", mis keelab põhiprotsessis muude lehtede kui "chrome: //", "resource: //" ja "about:" laadimise, keelab põhiprotsessis koodi käivitamise jagamismehhanismid (kasutatakse brauseri liidese loomiseks) ja privilegeerimata JavaScripti kood.
Veebitöötaja lõimudes on unustatud tšekk eval () toodud näiteks vea kohta, mis kvalifitseerub uue preemia maksmiseks.
Kui tuvastatakse haavatavus ja kaitsemehhanismid on välja jäetud ekspluateerimise vastu, uurija võib saada täiendavalt 50% põhitasust autasustatud tuvastatud haavatavuse eest (näiteks HTML Sanitizeri mehhanismist mööda mineva UXSS-i haavatavuse eest on võimalik saada 7,000 dollarit pluss lisatasu 3,500 dollarit).
Eelkõige preemiaprogrammi laiendamine sõltumatutele teadlastele 250 töötaja hiljutise vallandamise kontekstis Mozillalt, kuhu kuulus kogu ohtude haldamise meeskond, kes vastutab juhtumite avastamise ja analüüsimise eest, samuti osa turvameeskonnast.
Lisaks teatatakse programmi rakendamise reeglite muutumisest tasu öistes ehitistes tuvastatud haavatavuste eest.
Tuleb märkida, et need haavatavused avastatakse sageli kohe automatiseeritud sisekontrollide ja fuzzing-testide käigus.
Need veateated ei paranda Firefoxi turvalisust ega fuszivaid testimismehhanisme, mistõttu igaõhtuseid ehitisi premeeritakse haavatavuste eest ainult siis, kui probleem on põhihoidlas olnud juba üle 4 päeva ning seda ei tuvastanud sisemised ülevaated ega Mozilla töötajad.