Mozilla meluncurkan Rust Foundation dan program hadiah baru

Tim Rust Core dan Mozilla telah mengumumkan niat Anda untuk membuat file Rust Foundation, sebuah organisasi nirlaba independen pada akhir tahun, ke mana kekayaan intelektual yang terkait dengan proyek Rust akan ditransfer, termasuk merek dagang dan nama domain yang terkait dengan Rust, Cargo, dan crates.io.

Organisasi juga akan bertanggung jawab untuk mengatur pembiayaan proyek. Rust dan Cargo adalah merek dagang yang dimiliki oleh Mozilla sebelum transfer ke organisasi baru dan tunduk pada batasan penggunaan yang cukup ketat, yang menciptakan beberapa kesulitan dengan distribusi paket dalam distribusi.

Khususnya syarat Penggunaan Merek dagang Mozilla mereka melarang penyimpanan nama proyek jika terjadi perubahan atau patch.

Distribusi dapat mendistribusikan kembali paket bernama Rust and Cargo hanya jika itu dikompilasi dari sumber aslinya; jika tidak, izin tertulis sebelumnya dari tim Rust Core atau perubahan nama diperlukan.

Fitur ini mengganggu penghapusan cepat bug dan kerentanan dalam paket dengan Rust dan Cargo tanpa mengoordinasikan perubahan dengan upstream.

RustLinux

Ingat itu Rust awalnya dikembangkan sebagai proyek dari divisi Mozilla Research, yang pada tahun 2015 menjadi proyek yang berdiri sendiri dengan pengelolaan independen dari Mozilla.

Meskipun Rust telah berkembang secara mandiri sejak saat itu, Mozilla telah memberikan dukungan finansial dan hukum. Aktivitas ini sekarang akan ditransfer ke organisasi baru yang dibuat khusus untuk kurasi Rust.

Organisasi ini dapat dipandang sebagai situs non-Mozilla yang netral, sehingga lebih mudah menarik perusahaan baru untuk mendukung Rust dan meningkatkan kelangsungan proyek.

Program hadiah baru

Iklan lain apa yang dirilis Mozilla adalah memperluas inisiatifnya untuk membayar hadiah uang tunai untuk mengidentifikasi masalah keamanan di Firefox.

Selain kerentanan itu sendiri, program Bug Bounty sekarang juga akan mencakup metode untuk menghindari mekanisme tersebut tersedia di browser yang mencegah eksploitasi bekerja.

Mekanisme ini meliputi sistem untuk membersihkan fragmen HTML sebelum digunakan dalam konteks yang memiliki hak istimewa, berbagi memori untuk node DOM dan Strings / ArrayBuffers, menonaktifkan eval () dalam konteks sistem dan dalam proses utama, menerapkan CSP (konten Kebijakan Keamanan) yang ketat ke layanan halaman "about: config", yang melarang pemuatan halaman selain "chrome: //", "resource: //" dan "about:" dalam proses utama, melarang eksekusi kode JavaScript Eksternal dalam proses utama, mengabaikan hak istimewa mekanisme berbagi (digunakan untuk membuat antarmuka browser) dan kode JavaScript yang tidak memiliki hak istimewa.

Cek lupa untuk eval () di utas Web Worker diberikan sebagai contoh kesalahan yang memenuhi syarat untuk pembayaran hadiah baru.

Jika kerentanan teridentifikasi dan mekanisme perlindungan dihilangkan melawan eksploitasi, penyidik ​​dapat menerima tambahan 50% dari hadiah dasar diberikan untuk kerentanan yang teridentifikasi (misalnya, untuk kerentanan UXSS yang melewati mekanisme HTML Sanitizer, Anda dapat menerima $ 7,000 ditambah premi $ 3,500).

Mozilla
Artikel terkait:
Mozilla Meluncurkan 250 Karyawan Saat Krisis Berlanjut

Khususnya perluasan program penghargaan untuk peneliti independen terjadi dalam konteks pemberhentian 250 karyawan baru-baru ini dari Mozilla, yang mencakup seluruh Tim Manajemen Ancaman yang bertanggung jawab untuk mendeteksi dan menganalisis insiden, serta bagian dari tim keamanan.

Selain itu, perubahan aturan untuk menerapkan program dilaporkan imbalan untuk kerentanan yang diidentifikasi dalam bangunan malam.

Perlu dicatat bahwa kerentanan ini sering kali ditemukan segera selama proses pemeriksaan internal otomatis dan pengujian fuzzing.

Laporan bug ini tidak meningkatkan keamanan Firefox atau mekanisme pengujian yang tidak jelas, jadi nightly build hanya akan dihargai untuk kerentanan jika masalah telah ada di repositori utama selama lebih dari 4 hari dan belum diidentifikasi oleh tinjauan internal dan karyawan Mozilla.


Jadilah yang pertama mengomentari

tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.