Rust Core -tiimi ja Mozilla ovat ilmoittaneet aikomuksesi luoda Rust Foundation, riippumaton voittoa tavoittelematon järjestö vuoden loppuun mennessä, mihin Rust-projektiin liittyvä henkinen omaisuus siirretään, mukaan lukien tavaramerkit ja verkkotunnukset, jotka liittyvät Rustiin, Cargoon ja crates.io.
Organisaatio vastaa myös hankkeen rahoituksen järjestämisestä. Rust ja Cargo ovat Mozillan omistamia tavaramerkkejä ennen siirtämistä uudelle organisaatiolle, ja niihin sovelletaan melko tiukkoja käyttörajoituksia, mikä aiheuttaa ongelmia pakettien jakelussa jakeluissa.
Erityisesti käyttöehdot Mozilla-tavaramerkki ne kieltävät projektin nimen säilyttämisen muutosten tai korjausten yhteydessä.
Jakelut voivat jakaa Rust and Cargo -nimisen paketin uudelleen vain, jos se on koottu alkuperäisistä lähteistä; muuten vaaditaan Rust Core -tiimin etukäteen antama kirjallinen lupa tai nimenmuutos.
Tämä ominaisuus häiritsee virheiden ja haavoittuvuuksien nopeaa ja itsenäistä poistamista Rust and Cargo -paketeissa koordinoimatta muutoksia ylävirran kanssa.
Muista se Rust kehitettiin alun perin projektina Mozilla Research -divisioonasta, joka muutettiin vuonna 2015 itsenäiseksi projektiksi, jonka hallinnoija oli Mozilla.
Vaikka Rust on kehittynyt itsenäisesti siitä lähtien, Mozilla on tarjonnut taloudellista ja oikeudellista tukea. Nämä toiminnot siirtyvät nyt uudelle organisaatiolle, joka on luotu nimenomaan Rustin kuratointia varten.
Tätä organisaatiota voidaan pitää neutraalina sivustona, joka ei ole Mozilla, mikä helpottaa uusien yritysten houkuttelemista tukemaan Rustia ja lisäämään projektin kannattavuutta.
Uusi palkinto-ohjelma
Toinen mainos mitä Mozilla julkaisi on se, että se laajentaa aloitettaan maksaa käteispalkkioita Firefoxin tietoturvaongelmien tunnistamisesta.
Itse haavoittuvuuksien lisäksi Bug Bounty -ohjelma nytkin kattaa menetelmät mekanismien kiertämiseksi saatavilla selaimessa, jotka estävät hyväksikäytöt toimimasta.
Näitä mekanismeja ovat mm järjestelmä HTML-fragmenttien puhdistamiseksi ennen käyttöä etuoikeutetussa kontekstissa, muistin jakaminen DOM-solmuille ja Strings / ArrayBuffersille, eval () -järjestelmän hylkääminen järjestelmäkontekstissa ja pääprosessissa, tiukkojen CSP (Security Policy) -rajoitusten täytäntöönpano. sisältö) palvelusivut "about: config", joka kieltää muiden sivujen kuin "chrome: //", "resource: //" ja "about:" lataamisen pääprosessissa, estää koodin suorittamisen Ulkoinen JavaScript pääprosessissa, ohittaa etuoikeutetut jakomekanismit (käytetään selainliittymän luomiseen) ja ei-etuoikeutettu JavaScript-koodi.
Unohdettu tarkistus eval (): lle Web Worker -säikeissä on esimerkki virheestä, joka oikeuttaa uuden palkkion maksamiseen.
Jos haavoittuvuus havaitaan ja suojamekanismit jätetään pois hyökkäyksiä vastaan, tutkija voi saada lisäksi 50% peruspalkkiosta myönnetty tunnistetusta haavoittuvuudesta (esimerkiksi UXSS-haavoittuvuudesta, joka ohittaa HTML Sanitizer -mekanismin, on mahdollista saada 7,000 dollaria plus 3,500 dollarin palkkio).
Erityisesti palkitsemisohjelman laajentaminen riippumattomille tutkijoille tapahtuu 250 työntekijän äskettäisen irtisanomisen yhteydessä Mozillalta, johon kuului koko tapahtumien havaitsemisesta ja analysoinnista vastaava uhkien hallintaryhmä sekä osa turvallisuusryhmää.
Lisäksi, ilmoitetaan muutoksesta ohjelman soveltamista koskevissa säännöissä palkkio yökerhoissa havaituista haavoittuvuuksista.
On huomattava, että nämä haavoittuvuudet havaitaan usein välittömästi automatisoitujen sisäisten tarkastusten ja fuzzing-testien aikana.
Nämä virheraportit eivät paranna Firefoxin tietoturvaa tai piristyviä testausmekanismeja, joten yökokoelmat palkitaan haavoittuvuuksista vain, jos ongelma on ollut läsnä päätietovarastossa yli 4 päivää eikä sitä ole tunnistanut sisäiset tarkastukset ja Mozillan työntekijät.