Pasukan Rust Core dan Mozilla telah mengumumkan niat anda untuk mencipta Rust Foundation, sebuah organisasi bukan keuntungan bebas menjelang akhir tahun, yang mana harta intelek yang berkaitan dengan projek Rust akan dipindahkan, termasuk tanda dagangan dan nama domain yang berkaitan dengan Rust, Cargo, dan crates.io.
Organisasi itu juga akan bertanggungjawab mengatur pembiayaan projek. Rust dan Cargo adalah tanda dagang yang dimiliki oleh Mozilla sebelum pemindahan ke organisasi baru dan dikenakan sekatan penggunaan yang cukup ketat, yang menimbulkan beberapa kesulitan dengan pengedaran pakej dalam pengedaran.
Secara khusus syarat penggunaan Tanda dagangan Mozilla mereka melarang penyimpanan nama projek sekiranya berlaku perubahan atau tambalan.
Pengedaran boleh mengagihkan semula pakej bernama Rust dan Cargo hanya jika ia disusun dari sumber asal; jika tidak, kebenaran bertulis dari pasukan Rust Core atau pertukaran nama diperlukan.
Ciri ini mengganggu penyingkiran pepijat dan kerentanan bebas yang cepat dalam pakej dengan Rust dan Cargo tanpa menyelaraskan perubahan dengan hulu.
Ingatlah itu Rust pada asalnya dikembangkan sebagai projek dari bahagian Penyelidikan Mozilla, yang pada tahun 2015 diubah menjadi projek yang berdiri sendiri dengan pengurusan bebas dari Mozilla.
Walaupun Rust telah berkembang secara autonomi sejak itu, Mozilla memberikan sokongan kewangan dan undang-undang. Kegiatan ini kini akan dipindahkan ke organisasi baru yang dibuat khusus untuk kurasi Rust.
Organisasi ini dapat dilihat sebagai laman web non-Mozilla yang netral, menjadikannya lebih mudah untuk menarik syarikat baru untuk menyokong Rust dan meningkatkan daya maju projek.
Program ganjaran baru
Iklan lain apa yang dilepaskan oleh Mozilla ialah memperluas inisiatifnya untuk membayar ganjaran tunai untuk mengenal pasti masalah keselamatan di Firefox.
Selain kelemahan diri, program Bug Bounty sekarang juga akan merangkumi kaedah untuk mengelakkan mekanisme terdapat di penyemak imbas yang menghalang eksploitasi daripada berfungsi.
Mekanisme ini merangkumi sistem untuk membersihkan serpihan HTML sebelum digunakan dalam konteks istimewa, berkongsi memori untuk nod DOM dan Strings / ArrayBuffers, menolak eval () dalam konteks sistem dan dalam proses utama, menguatkuasakan sekatan CSP (Dasar Keselamatan). kandungan) kepada halaman perkhidmatan "about: config", yang melarang pemuatan halaman selain "chrome: //", "resource: //" dan "about:" dalam proses utama, melarang pelaksanaan kod JavaScript Eksternal dalam proses utama, memintas mekanisme perkongsian istimewa (digunakan untuk membuat antara muka penyemak imbas) dan kod JavaScript yang tidak istimewa.
Cek yang dilupakan untuk eval () dalam utas Web Worker diberikan sebagai contoh ralat yang memenuhi syarat untuk pembayaran ganjaran baru.
Sekiranya kelemahan dikenal pasti dan mekanisme perlindungan dihilangkan terhadap eksploitasi, penyiasat boleh menerima tambahan 50% dari ganjaran asas diberikan untuk kerentanan yang telah dikenal pasti (sebagai contoh, untuk kerentanan UXSS yang melewati mekanisme HTML Sanitizer, mungkin akan menerima $ 7,000 ditambah premium $ 3,500).
Secara khusus pengembangan program penghargaan untuk penyelidik bebas berlaku dalam konteks pemecatan 250 pekerja baru-baru ini dari Mozilla, yang merangkumi seluruh Pasukan Pengurusan Ancaman yang bertanggungjawab untuk mengesan dan menganalisis kejadian, dan juga sebahagian daripada pasukan keselamatan.
Selain itu, perubahan dalam peraturan untuk menerapkan program tersebut dilaporkan ganjaran untuk kelemahan yang dikenal pasti dalam bangunan setiap malam.
Perlu diperhatikan bahawa kelemahan ini sering dijumpai dengan segera semasa proses pemeriksaan dalaman automatik dan ujian kabur.
Laporan pepijat ini tidak meningkatkan keselamatan Firefox atau mekanisme pengujian kabur, jadi binaan malam hanya akan diberi ganjaran untuk kelemahan sekiranya masalah tersebut telah ada di repositori utama selama lebih dari 4 hari dan belum dikenal pasti oleh ulasan dalaman dan pekerja Mozilla.