Lo hanno annunciato il team di Rust Core e Mozilla la tua intenzione di creare il file Rust Foundation, un'organizzazione senza scopo di lucro indipendente entro la fine dell'anno, a cui la proprietà intellettuale associata al progetto Rust sarà trasferita, inclusi marchi e nomi di dominio associati a Rust, Cargo e crates.io.
La organizzazione sarà anche responsabile dell'organizzazione del finanziamento del progetto. Rust e Cargo sono marchi di proprietà di Mozilla prima del trasferimento alla nuova organizzazione e sono soggetti a restrizioni di utilizzo abbastanza rigide, il che crea alcune difficoltà con la distribuzione dei pacchetti nelle distribuzioni.
In particolare, termini di utilizzo Marchio Mozilla vietano la conservazione del nome del progetto in caso di modifiche o patch.
Le distribuzioni possono ridistribuire un pacchetto chiamato Rust e Cargo solo se è compilato dai sorgenti originali; in caso contrario, è richiesta la previa autorizzazione scritta del team Rust Core o un cambio di nome.
Questa funzionalità interferisce con la rapida rimozione indipendente di bug e vulnerabilità nei pacchetti con Rust e Cargo senza coordinare le modifiche con l'upstream.
Ricordiamo che Rust è stato originariamente sviluppato come progetto dalla divisione Mozilla Research, che nel 2015 è stato trasformato in un progetto autonomo con gestione indipendente da Mozilla.
Sebbene Rust si sia evoluto in modo autonomo da allora, Mozilla ha fornito supporto finanziario e legale. Queste attività verranno ora trasferite a una nuova organizzazione creata appositamente per la cura di Rust.
Questa organizzazione può essere vista come un sito neutrale non Mozilla, che facilita l'attrazione di nuove aziende per supportare Rust e aumentare la fattibilità del progetto.
Nuovo programma di ricompense
Un altro annuncio cosa ha rilasciato Mozilla è che sta espandendo la sua iniziativa per pagare premi in denaro per l'identificazione di problemi di sicurezza in Firefox.
Oltre alle vulnerabilità stesse, il programma Bug Bounty anche adesso coprirà i metodi per aggirare i meccanismi disponibile nel browser che impedisce il funzionamento degli exploit.
Questi meccanismi includono un sistema per pulire i frammenti HTML prima di essere utilizzati in un contesto privilegiato, condividere la memoria per i nodi DOM e le stringhe / ArrayBuffer, disabilitare eval () nel contesto del sistema e nel processo principale, applicare rigoroso CSP (contenuto della politica di sicurezza) al servizio pagine "about: config", che vieta il caricamento di pagine diverse da "chrome: //", "resource: //" e "about:" nel processo principale, vieta l'esecuzione di codice JavaScript esterno nel processo principale, bypassando i privilegi meccanismi di condivisione (utilizzati per creare l'interfaccia del browser) e codice JavaScript non privilegiato.
Un controllo dimenticato per eval () nei thread di Web Worker viene fornito come esempio di un errore che si qualifica per il pagamento di una nuova ricompensa.
Se viene identificata una vulnerabilità e i meccanismi di protezione sono omessi contro gli exploit, l'investigatore può ricevere un ulteriore 50% della ricompensa base assegnato per la vulnerabilità identificata (ad esempio, per una vulnerabilità UXSS che aggira il meccanismo HTML Sanitizer, sarà possibile ricevere $ 7,000 più un premio di $ 3,500).
In particolare, l'ampliamento del programma di premi per ricercatori indipendenti si verifica nel contesto del recente licenziamento di 250 dipendenti da Mozilla, che comprendeva l'intero Threat Management Team responsabile del rilevamento e dell'analisi degli incidenti, nonché parte del team di sicurezza.
Inoltre, viene segnalato un cambiamento nelle regole per applicare il programma ricompensa per le vulnerabilità identificate nelle build notturne.
Va notato che queste vulnerabilità vengono spesso scoperte immediatamente durante il processo di controlli interni automatizzati e test di fuzzing.
Queste segnalazioni di bug non migliorano la sicurezza di Firefox o alterano i meccanismi di test, quindi le build notturne saranno ricompensate per le vulnerabilità solo se il problema è stato presente nel repository principale per più di 4 giorni e non è stato identificato da revisioni interne e dipendenti Mozilla.