Het Rust Core-team en Mozilla hebben aangekondigd uw voornemen om het Rust Foundation, een onafhankelijke non-profitorganisatie tegen het einde van het jaar, tot welke het intellectuele eigendom van het Rust-project wordt overgedragen, inclusief handelsmerken en domeinnamen die verband houden met Rust, Cargo en crates.io.
La organización zal ook verantwoordelijk zijn voor het organiseren van de financiering van het project Rust en Cargo zijn handelsmerken die eigendom waren van Mozilla voorafgaand aan de overdracht aan de nieuwe organisatie en zijn onderhevig aan vrij strikte gebruiksbeperkingen, wat problemen oplevert met de distributie van pakketten in distributies.
En in het bijzonder, gebruiksvoorwaarden Mozilla-handelsmerk verbieden het bewaren van de projectnaam in geval van wijzigingen of patches.
Distributies kunnen een pakket genaamd Rust en Cargo alleen herdistribueren als het is gecompileerd vanuit de originele bronnen; anders is voorafgaande schriftelijke toestemming van het Rust Core-team of een naamswijziging vereist.
Deze functie interfereert met de snelle onafhankelijke verwijdering van bugs en kwetsbaarheden in pakketten met Rust en Cargo zonder wijzigingen met upstream te coördineren.
Bedenk dat Rust is oorspronkelijk ontwikkeld als project van de Mozilla Research-divisie, dat in 2015 werd omgevormd tot een op zichzelf staand project met onafhankelijk beheer van Mozilla.
Hoewel Rust sindsdien autonoom is geëvolueerd, heeft Mozilla financiële en juridische ondersteuning geboden. Deze activiteiten worden nu overgedragen aan een nieuwe organisatie die speciaal is opgericht voor de curatie van Rust.
Deze organisatie kan worden gezien als een neutrale niet-Mozilla-site, waardoor het gemakkelijker wordt om nieuwe bedrijven aan te trekken om Rust te ondersteunen en de levensvatbaarheid van het project te vergroten.
Nieuw beloningsprogramma
Nog een advertentie wat Mozilla heeft uitgebracht is dat het zijn initiatief uitbreidt om geldbeloningen te betalen voor het identificeren van beveiligingsproblemen in Firefox.
Naast de kwetsbaarheden zelf, het Bug Bounty-programma nu ook zal betrekking hebben op methoden om de mechanismen te omzeilen beschikbaar in de browser die voorkomen dat exploits werken.
Deze mechanismen omvatten een systeem om HTML-fragmenten op te schonen voordat ze in een geprivilegieerde context worden gebruikt, geheugen delen voor DOM-knooppunten en Strings / ArrayBuffers, eval () uitschakelen in de systeemcontext en in het hoofdproces, strikte CSP (Security Policy content) toepassen op de service pagina's "about: config", die het laden van andere pagina's dan "chrome: //", "resource: //" en "about:" in het hoofdproces verbiedt, verbiedt uitvoering van code Externe JavaScript in het hoofdproces, waarbij privileged wordt omzeild deelmechanismen (gebruikt om de browserinterface te maken) en niet-geprivilegieerde JavaScript-code.
Een vergeten controle op eval () in Web Worker-threads wordt gegeven als voorbeeld van een fout die in aanmerking komt voor de betaling van een nieuwe beloning.
Als er een kwetsbaarheid wordt geïdentificeerd en beschermingsmechanismen zijn weggelaten tegen exploits, de onderzoeker kan 50% extra van de basisbeloning ontvangen toegekend voor de geïdentificeerde kwetsbaarheid (bijvoorbeeld, voor een UXSS-kwetsbaarheid die het HTML Sanitizer-mechanisme omzeilt, is het mogelijk om $ 7,000 plus een premie van $ 3,500 te ontvangen).
En in het bijzonder, de uitbreiding van het beloningsprogramma voor onafhankelijke onderzoekers vindt plaats in het kader van het recente ontslag van 250 medewerkers van Mozilla, waaronder het volledige Threat Management Team dat verantwoordelijk is voor het detecteren en analyseren van incidenten, en een deel van het beveiligingsteam.
Bovendien heeft een wijziging in de regels om het programma toe te passen wordt gemeld van premies voor de kwetsbaarheden die in de nachtelijke builds zijn geïdentificeerd.
Opgemerkt moet worden dat deze kwetsbaarheden vaak onmiddellijk worden ontdekt tijdens het proces van geautomatiseerde interne controles en fuzzing-tests.
Deze bugrapporten verbeteren de Firefox-beveiliging of fuzzing-testmechanismen niet, dus nachtelijke builds worden alleen beloond voor kwetsbaarheden als het probleem al meer dan 4 dagen aanwezig is in de hoofdrepository en niet is geïdentificeerd door interne beoordelingen en Mozilla-medewerkers.