RustCoreチームとMozillaが発表しました を作成するあなたの意図 独立した非営利団体であるRustFoundation 年末までに、 Rustプロジェクトに関連する知的財産は譲渡されます、Rust、Cargo、およびcrates.ioに関連する商標とドメイン名を含みます。
組織 プロジェクトの資金調達を組織する責任もあります。 RustとCargoは、新しい組織に移管される前にMozillaが所有していた商標であり、かなり厳しい使用制限の対象となるため、配布でのパッケージの配布にいくつかの問題が生じます。
特に 利用規約 Mozillaの商標 変更またはパッチが適用された場合にプロジェクト名を保持することは禁止されています。
ディストリビューションは、元のソースからコンパイルされた場合にのみ、Rust andCargoという名前のパッケージを再配布できます。 それ以外の場合は、RustCoreチームからの事前の書面による許可または名前の変更が必要です。
この機能は、アップストリームとの変更を調整せずに、RustとCargoを含むパッケージのバグと脆弱性を迅速に独立して削除することを妨げます。
それを思い出して Rustはもともとプロジェクトとして開発されました MozillaResearch部門から、2015年に、Mozillaから独立した管理を行うスタンドアロンプロジェクトに変換されました。
それ以来、Rustは自律的に進化してきましたが、Mozillaは財政的および法的支援を提供してきました。 これらの活動は、Rustのキュレーションのために特別に作成された新しい組織に移管されます。
この組織は中立的な非Mozillaサイトと見なすことができ、Rustをサポートし、プロジェクトの実行可能性を高めるために新しい企業を引き付けることが容易になります。
新しい報酬プログラム
別の広告 Mozillaがリリースしたもの Firefoxのセキュリティ問題を特定するための現金報酬を支払うというイニシアチブを拡大しているということです。
脆弱性自体に加えて、 バグバウンティプログラム 今も メカニズムを回避する方法をカバーします エクスプロイトが機能しないようにするブラウザで利用できます。
これらのメカニズムには次のものが含まれます 特権コンテキストで使用される前にHTMLフラグメントをクリーンアップし、DOMノードとStrings / ArrayBuffersのメモリを共有し、システムコンテキストとメインプロセスでeval()を否認し、厳格なCSP(セキュリティポリシー)制限を適用するためのシステム。メインプロセスでの「chrome://」、「resource://」、「about:」以外のページの読み込みを禁止するサービスページ「about:config」は、メインプロセスでのコード実行を禁止します。特権共有メカニズム(ブラウザーインターフェイスの作成に使用)と非特権JavaScriptコードをバイパスします。
新しい報酬の支払いの対象となるエラーの例として、Web Workerスレッドでのeval()のチェックを忘れた場合があります。
脆弱性が特定された場合 および保護メカニズムは省略されています エクスプロイトに対して、 調査員は基本報酬の50%を追加で受け取ることができます 識別された脆弱性に対して授与されます(たとえば、HTMLサニタイザーメカニズムをバイパスするUXSS脆弱性の場合、7,000ドルと3,500ドルのプレミアムを受け取ることができます)。
特に 報酬プログラムの拡大 独立した研究者のために 250人の従業員の最近の解雇の文脈で発生します インシデントの検出と分析を担当する脅威管理チーム全体とセキュリティチームの一部を含むMozillaから。
さらに、 プログラムを適用するためのルールの変更が報告されます ナイトリービルドで特定された脆弱性に対する報酬。
これらの脆弱性は、自動化された内部チェックとファジングテストのプロセス中にすぐに発見されることが多いことに注意してください。
これらのバグレポートはFirefoxのセキュリティやファジングテストメカニズムを改善しないため、問題がメインリポジトリに4日以上存在し、内部レビューやMozillaの従業員によって特定されていない場合にのみ、ナイトリービルドに脆弱性が報われます。