L'équipe Rust Core et Mozilla ont annoncé votre intention de créer le Rust Foundation, une organisation indépendante à but non lucratif d'ici la fin de l'année, à laquelle la propriété intellectuelle associée au projet Rust sera transférée, y compris les marques et noms de domaine associés à Rust, Cargo et crates.io.
L'organisation sera également responsable de l'organisation du financement du projet. Rust et Cargo sont des marques déposées appartenant à Mozilla avant le transfert à la nouvelle organisation et sont soumises à des restrictions d'utilisation assez strictes, ce qui crée des difficultés avec la distribution des packages dans les distributions.
En particulier, conditions d'utilisation Marque Mozilla ils interdisent la conservation du nom du projet en cas de modifications ou de correctifs.
Les distributions peuvent redistribuer un package nommé Rust et Cargo uniquement s'il est compilé à partir des sources originales; sinon, une autorisation écrite préalable de l'équipe Rust Core ou un changement de nom est nécessaire.
Cette fonctionnalité interfère avec la suppression rapide et indépendante des bogues et des vulnérabilités dans les packages avec Rust et Cargo sans coordonner les changements avec l'amont.
Rappelons que Rust a été développé à l'origine comme un projet de la division Mozilla Research, qui en 2015 a été transformé en un projet autonome avec une direction indépendante de Mozilla.
Bien que Rust ait évolué de manière autonome depuis lors, Mozilla a fourni un soutien financier et juridique. Ces activités seront désormais transférées à une nouvelle organisation créée spécifiquement pour la conservation de Rust.
Cette organisation peut être considérée comme un site neutre non Mozilla, ce qui permet d'attirer plus facilement de nouvelles entreprises pour soutenir Rust et augmenter la viabilité du projet.
Nouveau programme de récompenses
Une autre annonce ce que Mozilla a publié est qu'il étend son initiative pour payer des récompenses en espèces pour identifier les problèmes de sécurité dans Firefox.
En plus des vulnérabilités elles-mêmes, le programme Bug Bounty maintenant aussi couvrira les méthodes pour contourner les mécanismes disponibles dans le navigateur qui empêchent les exploits de fonctionner.
Ces mécanismes comprennent un système pour nettoyer les fragments HTML avant d'être utilisés dans un contexte privilégié, partager la mémoire pour les nœuds DOM et Strings / ArrayBuffers, désavouer eval () dans le contexte système et dans le processus principal, appliquer des restrictions strictes CSP (Security Policy). content) à les pages de service "about: config", qui interdisent le chargement de pages autres que "chrome: //", "resource: //" et "about:" dans le processus principal, interdisent l'exécution de code JavaScript externe dans le processus principal, contournant les mécanismes de partage privilégié (utilisés pour créer l'interface du navigateur) et le code JavaScript non privilégié.
Un chèque oublié pour eval () dans les threads Web Worker est donné à titre d'exemple d'erreur donnant droit au paiement d'une nouvelle récompense.
Si une vulnérabilité est identifiée et les mécanismes de protection sont omis contre les exploits, l'investigateur peut recevoir 50% supplémentaires de la récompense de base attribué pour la vulnérabilité identifiée (par exemple, pour une vulnérabilité UXSS qui contourne le mécanisme HTML Sanitizer, il sera possible de recevoir 7,000 3,500 $ plus une prime de XNUMX XNUMX $).
En particulier, l'extension du programme de récompenses pour les chercheurs indépendants intervient dans le cadre du récent licenciement de 250 salariés de Mozilla, qui comprenait toute l'équipe de gestion des menaces responsable de la détection et de l'analyse des incidents, ainsi qu'une partie de l'équipe de sécurité.
En outre, un changement des règles d'application du programme est signalé récompense pour les vulnérabilités identifiées dans les builds nocturnes.
Il est à noter que ces vulnérabilités sont souvent découvertes immédiatement lors du processus de contrôles internes automatisés et de tests de fuzzing.
Ces rapports de bogues n'améliorent pas la sécurité de Firefox ou les mécanismes de test de fuzzing, de sorte que les versions nocturnes ne seront récompensées pour les vulnérabilités que si le problème est présent dans le référentiel principal depuis plus de 4 jours et n'a pas été identifié par les révisions internes et les employés de Mozilla.