Rust Core 팀과 Mozilla는 창조하려는 당신의 의도 독립적 인 비영리 조직인 Rust Foundation 연말까지 Rust 프로젝트와 관련된 지적 재산이 이전됩니다., Rust, Cargo 및 crates.io와 관련된 상표 및 도메인 이름 포함.
조직 또한 프로젝트의 자금 조달을 담당합니다.. Rust와 Cargo는 새 조직으로 이전하기 전에 Mozilla가 소유 한 상표이며 상당히 엄격한 사용 제한이 적용되어 배포시 패키지 배포에 약간의 어려움이 있습니다.
특히 이용 약관 Mozilla 상표 그들은 변경이나 패치의 경우 프로젝트 이름의 유지를 금지합니다.
배포판은 원본 소스에서 컴파일 된 경우에만 Rust 및 Cargo라는 패키지를 재배포 할 수 있습니다. 그렇지 않으면 Rust Core 팀의 사전 서면 허가 나 이름 변경이 필요합니다.
이 기능은 업스트림과의 변경 사항을 조정하지 않고 Rust 및 Cargo를 사용하는 패키지의 버그 및 취약성의 신속하고 독립적 인 제거를 방해합니다.
기억하십시오. Rust는 원래 프로젝트로 개발되었습니다. Mozilla 연구 부서에서, 2015 년에 Mozilla에서 독립적으로 관리하는 독립형 프로젝트로 전환되었습니다.
Rust는 그 이후로 자율적으로 발전했지만 Mozilla는 재정 및 법적 지원을 제공했습니다. 이러한 활동은 이제 Rust의 큐 레이션을 위해 특별히 만들어진 새로운 조직으로 이전됩니다.
이 조직은 중립적 인 비 Mozilla 사이트로 볼 수 있으므로 Rust를 지원하고 프로젝트의 실행 가능성을 높이기 위해 새로운 회사를 유치하기가 더 쉽습니다.
새로운 보상 프로그램
또 다른 광고 Mozilla가 출시 한 것 Firefox의 보안 문제를 식별 한 대가로 현금 보상을 지급하는 이니셔티브를 확장하고 있다는 것입니다.
취약성 자체 외에도 버그 바운티 프로그램 지금도 메커니즘을 우회하는 방법을 다룰 것입니다. 악용이 작동하지 않도록 브라우저에서 사용할 수 있습니다.
이러한 메커니즘에는 다음이 포함됩니다. 권한있는 컨텍스트에서 사용되기 전에 HTML 조각을 정리하고, DOM 노드와 문자열 / 어레이 버퍼에 대한 메모리를 공유하고, 시스템 컨텍스트 및 기본 프로세스에서 eval ()을 비활성화하고, 엄격한 CSP (보안 정책 콘텐츠)를 서비스에 적용하는 시스템 기본 프로세스에서 "chrome : //", "resource : //"및 "about :"이외의 페이지로드를 금지하는 "about : config"페이지는 기본 프로세스에서 코드 실행을 금지하고 권한이있는 외부 JavaScript를 우회합니다. 공유 메커니즘 (브라우저 인터페이스를 만드는 데 사용됨) 및 권한이없는 JavaScript 코드.
웹 작업자 스레드의 eval ()에 대한 잊어 버린 확인은 새 보상을 지불 할 자격이있는 오류의 예로 제공됩니다.
취약성이 확인 된 경우 보호 메커니즘이 생략되었습니다. 악용에 대해 조사자는 기본 보상의 50 %를 추가로받을 수 있습니다. 확인 된 취약점에 대해 수여되었습니다 (예 : HTML Sanitizer 메커니즘을 우회하는 UXSS 취약점의 경우 $ 7,000에 $ 3,500의 프리미엄을받을 수 있습니다).
특히 보상 프로그램의 확장 독립 연구자 용 최근 250 명의 직원이 해고 된 상황에서 발생 보안 팀의 일부는 물론 사고 감지 및 분석을 담당하는 전체 위협 관리 팀이 포함 된 Mozilla에서
또한, 프로그램 적용 규칙 변경보고 야간 빌드에서 확인 된 취약점에 대한 보상.
이러한 취약성은 종종 자동화 된 내부 검사 및 퍼징 테스트 프로세스 중에 즉시 발견된다는 점에 유의해야합니다.
이러한 버그 보고서는 Firefox 보안 또는 퍼징 테스트 메커니즘을 개선하지 않으므로 야간 빌드는 문제가 주 저장소에 4 일 이상 존재하고 내부 검토 및 Mozilla 직원에 의해 확인되지 않은 경우에만 취약점에 대한 보상을받습니다.