צוות Core Core ו- Mozilla הכריזו הכוונה שלך ליצור את קרן חלודה, ארגון עצמאי ללא כוונת רווח עד סוף השנה, אליה הקניין הרוחני הקשור לפרויקט חלודה יועבר, כולל סימנים מסחריים ושמות דומיינים הקשורים לחלודה, מטען ו- crates.io.
הארגון יהיה אחראי גם על ארגון מימון הפרויקט. Rust ו- Cargo הם סימנים מסחריים שבבעלות מוזילה לפני המעבר לארגון החדש וכפופים למגבלות שימוש קפדניות למדי, מה שיוצר קשיים מסוימים בהפצת חבילות בהפצות.
בפרט תנאי שימוש סימן מסחרי של מוזילה לאסור על שמירת שם הפרויקט במקרה של שינויים או תיקונים.
הפצות יכולות להפיץ מחדש חבילה בשם Rust and Cargo רק אם היא מורכבת מהמקורות המקוריים; אחרת, נדרשת אישור בכתב מראש מצוות Rust Core או שינוי שם.
תכונה זו מפריעה להסרה עצמאית מהירה של באגים ופגיעות בחבילות עם Rust ו- Cargo מבלי לתאם שינויים עם upstream.
זכור זאת החלודה פותחה במקור כפרויקט מחטיבת המחקר של מוזילה, אשר בשנת 2015 הפך לפרויקט עצמאי עם ניהול עצמאי ממוזילה.
למרות שחלודה התפתח באופן אוטונומי מאז, מוזילה סיפקה תמיכה כלכלית ומשפטית. פעילויות אלה יועברו כעת לארגון חדש שנוצר במיוחד לצורך האוצרות של רוסט.
ניתן לראות בארגון זה כאתר נייטרלי שאינו מוזילה, מה שמקל על משיכת חברות חדשות שתומכות ברוסט ומגדילות את כדאיות הפרויקט.
תוכנית תגמולים חדשה
מודעה נוספת מה שהוציאה מוזילה היא שהיא מרחיבה את היוזמה שלה לשלם תגמולים במזומן בגין זיהוי בעיות אבטחה ב- Firefox.
בנוסף לפגיעות עצמן, תוכנית באג באונטי גם עכשיו יכסה שיטות לעקוף את המנגנונים זמין בדפדפן המונע עבודה מנצלים.
מנגנונים אלה כוללים מערכת לניקוי שברי HTML לפני השימוש בהקשר מועדף, שיתוף זיכרון לצמתי DOM ומחרוזות / ArrayBuffers, התנערות מ- eval () בהקשר המערכת ובתהליך הראשי, אכיפת מגבלות קפדניות של CSP (Security Policy). דפי השירות "about: config", האוסרים טעינת דפים שאינם "chrome: //", "resource: //" ו- "about:" בתהליך הראשי, אוסרים על ביצוע קוד JavaScript חיצוני בתהליך הראשי, עקיפת מנגנוני שיתוף מורשים (המשמשים ליצירת ממשק הדפדפן) וקוד JavaScript שאינו מורשה.
המחאה שנשכחה לגבי הערכה () בשרשורי Web Worker מובאת כדוגמה לשגיאה המזכה בתשלום תגמול חדש.
אם מזוהה עם פגיעות ומנגנוני הגנה מושמטים נגד מעללים, החוקר עשוי לקבל תוספת של 50% מתגמול הבסיס הוענק עבור הפגיעות שזוהתה (למשל, עבור פגיעות UXSS העוקפת את מנגנון ה- HTML Sanitizer, ניתן יהיה לקבל 7,000 $ בתוספת פרמיה של 3,500 $).
בפרט הרחבת תוכנית התגמולים לחוקרים עצמאיים מתרחשת בהקשר לפיטורים של 250 עובדים לאחרונה מ- Mozilla, שכלל את כל צוות ניהול האיומים האחראי על איתור וניתוח של אירועים, כמו גם חלק מצוות האבטחה.
בנוסף, מדווח על שינוי בכללים להחלת התוכנית תגמול עבור פגיעות שזוהו בבניינים ליליים.
יש לציין כי נקודות תורפה אלו מתגלות לעתים קרובות מיד בתהליך בדיקות פנימיות אוטומטיות ובדיקות מטושטשות.
דיווחי באגים אלה אינם משפרים את אבטחת Firefox או את מנגנוני הבדיקה המטושטשים, כך שבניית לילה תתוגמל רק עבור נקודות תורפה אם הנושא היה קיים במאגר הראשי יותר מ -4 ימים ולא זוהה על ידי ביקורות פנימיות ועובדי מוזילה.