Najavili su tim Rust Core i Mozilla vaša namjera da stvorite Zaklada Rust, neovisna neprofitna organizacija do kraja godine, na koju intelektualno vlasništvo povezano s projektom Rust bit će preneseno, uključujući zaštitne znakove i nazive domena povezanih s Rustom, Cargoom i crates.io.
Organizacija također će biti odgovoran za organizaciju financiranja projekta. Rust i Cargo zaštitni su znakovi u vlasništvu Mozille prije prijenosa u novu organizaciju i podliježu prilično strogim ograničenjima upotrebe, što stvara određene poteškoće s distribucijom paketa u distribucijama.
Osobito Uvjeti korištenja Zaštitni znak Mozilla zabranjuju zadržavanje naziva projekta u slučaju promjena ili zakrpa.
Distribucije mogu ponovno distribuirati paket pod nazivom Rust and Cargo samo ako je sastavljen iz izvornih izvora; u suprotnom, potrebno je prethodno pismeno odobrenje tima Rust Core ili promjena imena.
Ova značajka ometa brzo neovisno uklanjanje programskih pogrešaka i ranjivosti u paketima s Rustom i Cargoom bez koordiniranja promjena s uzvodnim.
Zapamtite to Rust je izvorno razvijen kao projekt iz odjela Mozilla Research, koji je 2015. transformiran u samostalni projekt s neovisnim menadžmentom iz Mozile.
Iako se Rust od tada autonomno razvijao, Mozilla je pružala financijsku i pravnu podršku. Te će se aktivnosti sada prenijeti na novu organizaciju stvorenu posebno za Rustovo kustos.
Ova se organizacija može promatrati kao neutralno mjesto koje nije Mozilla, što olakšava privlačenje novih tvrtki koje podržavaju Rust i povećava održivost projekta.
Novi program nagrađivanja
Još jedan oglas ono što je Mozilla pustila je da proširuje svoju inicijativu za isplatu novčanih nagrada za prepoznavanje sigurnosnih problema u Firefoxu.
Pored samih ranjivosti, program Bug Bounty sada također pokriti će metode za zaobilaženje mehanizama dostupni u pregledniku koji sprečavaju eksploataciju.
Ti mehanizmi uključuju sustav za čišćenje HTML fragmenata prije upotrebe u privilegiranom kontekstu, dijeljenje memorije za DOM čvorove i Strings / ArrayBuffers, odricanje od eval () u kontekstu sustava i u glavnom procesu, provođenje strogih ograničenja CSP (sigurnosne politike). sadržaja) servisne stranice "about: config", koje zabranjuju učitavanje stranica koje nisu "chrome: //", "resource: //" i "about:" u glavnom procesu, zabranjuje izvršavanje koda Vanjski JavaScript u glavnom procesu, zaobilazeći privilegirane mehanizme dijeljenja (koji se koriste za stvaranje sučelja preglednika) i ne privilegirani JavaScript kôd.
Zaboravljeni ček za eval () u nitima Web Worker naveden je kao primjer pogreške koja ispunjava uvjete za isplatu nove nagrade.
Ako se utvrdi ranjivost a izostavljeni su zaštitni mehanizmi protiv izrabljivanja, istražitelj može dobiti dodatnih 50% osnovne nagrade dodijeljena za identificiranu ranjivost (na primjer, za UXSS ranjivost koja zaobilazi mehanizam HTML Sanitizer, moći će se dobiti 7,000 USD plus premija od 3,500 USD).
Osobito proširenje programa nagrađivanja za neovisne istraživače događa se u kontekstu nedavnog otpuštanja 250 zaposlenika iz Mozille, koji je uključivao cijeli tim za upravljanje prijetnjama odgovoran za otkrivanje i analizu incidenata, kao i dio sigurnosnog tima.
Osim toga, izvještava se o promjeni pravila za primjenu programa nagrada za ranjivosti identificirane u noćnim gradnjama.
Treba napomenuti da se te ranjivosti često otkrivaju odmah tijekom procesa automatiziranih internih provjera i fuzzing testova.
Ova izvješća o programskim pogreškama ne poboljšavaju Firefoxovu sigurnost ili nejasne mehanizme testiranja, pa će se noćne gradnje nagrađivati za ranjivosti samo ako je problem prisutan u glavnom spremištu dulje od 4 dana i ako ga interni pregledi i zaposlenici Mozille nisu identificirali.