A Rust Core csapata és a Mozilla bejelentette szándékod létrehozni a Rust Foundation, egy független nonprofit szervezet év végéig, amelyre a Rust projekthez kapcsolódó szellemi tulajdon átruházásra kerül, beleértve a Rust, Cargo és crates.io társított védjegyeket és domainneveket.
A szervezet felelős lesz a projekt finanszírozásának megszervezéséért is. A Rust és a Cargo a Mozilla védjegyei az új szervezethez történő átadás előtt, és meglehetősen szigorú használati korlátozások vonatkoznak rájuk, ami némi nehézséget okoz a csomagok terjesztésben történő terjesztésében.
Különösen használati feltételek Mozilla védjegy tiltsa meg a projekt nevének megőrzését változtatások vagy javítások esetén.
A disztribúciók csak akkor terjeszthetik a Rust and Cargo nevű csomagot, ha az eredeti forrásokból áll össze; ellenkező esetben a Rust Core csapatának előzetes írásbeli engedélye vagy névváltoztatás szükséges.
Ez a szolgáltatás megzavarja a hibák és a sebezhetőségek gyors eltávolítását a Rust and Cargo csomagjaiban anélkül, hogy összehangolná a változásokat az upstream-rel.
Emlékezz erre A Rust eredetileg projektként készült a Mozilla Research részlegtől, amelyet 2015-ben önálló projektgé alakítottak át, független menedzsmenttel a Mozillától.
Bár a Rust azóta autonóm módon fejlődött, a Mozilla pénzügyi és jogi támogatást nyújtott. Ezek a tevékenységek átkerülnek egy új szervezetbe, amelyet kifejezetten Rust gondozására hoztak létre.
Ez a szervezet semleges, nem Mozilla webhelyként tekinthető, megkönnyítve az új vállalatok bevonzását a Rust támogatására és a projekt életképességének növelésére.
Új jutalom program
Újabb hirdetés amit a Mozilla kiadott az, hogy kibővíti kezdeményezését, hogy készpénzben részesüljön a Firefox biztonsági problémáinak azonosításáért.
Maguk a sebezhetőségek mellett a Bug Bounty programot most is kiterjed a mechanizmusok megkerülésére szolgáló módszerekre elérhető a böngészőben, amely megakadályozza a kihasználások működését.
Ezek a mechanizmusok magukban foglalják egy rendszer a HTML-töredékek megtisztítására, mielőtt privilegizált környezetben használnák őket, megosztaná a memóriát a DOM-csomópontok és a Strings / ArrayBuffers számára, letiltja az eval () rendszert és a fő folyamatot, szigorú CSP (Security Policy) korlátozások tartalmát alkalmazza a "about: config" szolgáltatási oldalak, amelyek tiltják a "chrome: //", az "resource: //" és az "about:" más oldalak betöltését a fő folyamatban, tiltják a kód futtatását a külső folyamatban a fő folyamatban, megkerülve privilegizált megosztási mechanizmusok (a böngésző felületének létrehozására szolgálnak) és nem privilegizált JavaScript kód.
A Web Worker szálak elfelejtett ellenőrzése az eval () után példaként szolgál egy olyan hibára, amely alkalmas új jutalom kifizetésére.
Ha biztonsági rést azonosítanak és a védelmi mechanizmusok kimaradnak kizsákmányolások ellen, a nyomozó az alapjutalom további 50% -át kaphatja meg az azonosított sebezhetőségért ítélték oda (például egy UXSS sebezhetőségért, amely megkerüli a HTML Sanitizer mechanizmust, 7,000 dollárt plusz 3,500 dollár prémiumot lehet kapni).
Különösen a jutalmazási program kibővítése független kutatók számára 250 alkalmazott legutóbbi elbocsátásának összefüggésében történik A Mozilla, amely magában foglalta az incidensek felderítéséért és elemzéséért felelős teljes fenyegetéskezelő csoportot, valamint a biztonsági csapat egy részét.
Ezen túlmenően, a program alkalmazásáról szóló szabályok változásáról számolnak be jutalom az éjszakai építkezések során azonosított sebezhetőségekért.
Meg kell jegyezni, hogy ezeket a sérülékenységeket gyakran azonnal felfedezik az automatizált belső ellenőrzések és a fuzzing tesztek során.
Ezek a hibabejelentések nem javítják a Firefox biztonságát vagy az elbizonytalanodó tesztelési mechanizmusokat, ezért az éjszakai összeállításokat csak akkor jutalmazzák a sérülékenységekért, ha a probléma már több mint 4 napja jelen van a fő adattárban, és a belső felülvizsgálatok és a Mozilla alkalmazottai nem azonosították.