Rust Core komanda un Mozilla ir paziņojuši jūsu nodoms izveidot Rust Foundation, neatkarīga bezpeļņas organizācija līdz gada beigām, uz kuru tiks nodots intelektuālais īpašums, kas saistīts ar projektu Rust, ieskaitot preču zīmes un domēna vārdus, kas saistīti ar Rust, Cargo un crates.io.
Organizācija būs atbildīga arī par projekta finansēšanas organizēšanu. Rust un Cargo ir preču zīmes, kas pieder Mozilla pirms nodošanas jaunajai organizācijai, un uz tām attiecas diezgan stingri lietošanas ierobežojumi, kas rada zināmas grūtības ar paku izplatīšanu izplatījumos.
Jo īpaši lietošanas noteikumi Mozilla preču zīme aizliegt projekta nosaukuma saglabāšanu izmaiņu vai ielāpu gadījumā.
Izplatījumi var pārdalīt paketi ar nosaukumu Rust and Cargo tikai tad, ja tā ir sastādīta no sākotnējiem avotiem; pretējā gadījumā nepieciešama iepriekšēja rakstiska Rust Core komandas atļauja vai nosaukuma maiņa.
Šī funkcija traucē ātri un neatkarīgi novērst kļūdas un ievainojamību paketēs ar Rust and Cargo, nesaskaņojot izmaiņas ar augšpusē.
Atgādināt, ka Sākotnēji rūsa tika izstrādāta kā projekts no Mozilla Research nodaļas, kas 2015. gadā tika pārveidots par atsevišķu projektu ar neatkarīgu pārvaldību no Mozilla.
Kaut arī Rust kopš tā laika ir attīstījusies autonomi, Mozilla ir sniegusi finansiālu un juridisku atbalstu. Šīs aktivitātes tagad tiks nodotas jaunai organizācijai, kas izveidota tieši Rusta kurācijai.
Šo organizāciju var uzskatīt par neitrālu vietni, kas nav Mozilla vietne, tādējādi atvieglojot jaunu uzņēmumu piesaisti Rust atbalstam un projekta dzīvotspējas palielināšanai.
Jauna atlīdzības programma
Vēl viena reklāma ko Mozilla izlaida ir tā, ka tā paplašina iniciatīvu maksāt naudas atlīdzību par drošības problēmu identificēšanu Firefox.
Papildus pašu ievainojamībai programmu Bug Bounty arī tagad ietvers metodes, kā apiet mehānismus pieejams pārlūkprogrammā, kas neļauj izmantot varoņdarbus.
Šie mehānismi ietver sistēma HTML fragmentu attīrīšanai, pirms tiek izmantota priviliģētā kontekstā, koplietojama atmiņa DOM mezgliem un virknēm / ArrayBuffers, atspējota eval () sistēmas kontekstā un galvenajā procesā, pakalpojumam jāpiemēro stingrs CSP (drošības politikas saturs) lapas "about: config", kas pamatprocesā aizliedz ielādēt citas lapas kā "chrome: //", "resurss: //" un "about:", aizliedz koda izpildi Ārējais JavaScript galvenajā procesā, apejot priviliģētās koplietošanas mehānismi (tiek izmantoti pārlūka saskarnes izveidei) un privileģēts JavaScript kods.
Web Worker pavedienos aizmirsta pārbaude par eval () ir sniegta kā kļūdas piemērs, kas atbilst jaunas atlīdzības izmaksai.
Ja tiek atklāta ievainojamība un aizsardzības mehānismi ir izlaisti pret varoņdarbiem, izmeklētājs var saņemt papildu 50% no pamatalgas piešķirts par identificēto ievainojamību (piemēram, par UXSS ievainojamību, kas apiet HTML sanitizer mehānismu, būs iespējams saņemt 7,000 USD plus 3,500 USD piemaksu).
Jo īpaši atlīdzības programmas paplašināšana neatkarīgiem pētniekiem notiek nesenā 250 darbinieku atlaišanas kontekstā no Mozilla, kurā bija visa draudu pārvaldības grupa, kas atbildīga par incidentu atklāšanu un analizēšanu, kā arī daļa no drošības komandas.
Turklāt, tiek ziņots par izmaiņām programmas piemērošanas noteikumos atlīdzība par ievainojamībām, kas konstatētas nakts būvēs.
Jāatzīmē, ka šīs ievainojamības bieži tiek atklātas automātiski automatizētu iekšējo pārbaužu un fuzzing testu laikā.
Šie kļūdu pārskati neuzlabo Firefox drošību vai saviļņotus testēšanas mehānismus, tāpēc nakts būvējumi tiks apbalvoti par ievainojamībām tikai tad, ja problēma galvenajā krātuvē ir bijusi ilgāk par 4 dienām un to nav identificējuši iekšējie pārskati un Mozilla darbinieki.