Rust Core-teamet og Mozilla har kunngjort din intensjon om å lage Rust Foundation, en uavhengig ideell organisasjon innen utgangen av året, som immateriell eiendom knyttet til Rust-prosjektet vil bli overført, inkludert varemerker og domenenavn tilknyttet Rust, Cargo og crates.io.
Organisasjonen vil også ha ansvaret for å organisere finansieringen av prosjektet. Rust og Cargo er varemerker som eies av Mozilla før overføringen til den nye organisasjonen, og er underlagt ganske strenge bruksbegrensninger, noe som skaper noen problemer med distribusjonen av pakker i distribusjoner.
Spesielt vilkår for bruk Mozilla varemerke forby oppbevaring av prosjektnavnet i tilfelle endringer eller oppdateringer.
Distribusjoner kan bare distribuere en pakke som heter Rust og Cargo hvis den er samlet fra de opprinnelige kildene. Ellers kreves det skriftlig forhåndstillatelse fra Rust Core-teamet eller navneendring.
Denne funksjonen forstyrrer rask uavhengig fjerning av feil og sårbarheter i pakker med Rust og Cargo uten å koordinere endringer med oppstrøms.
Husker at Rust ble opprinnelig utviklet som et prosjekt fra Mozilla Research-divisjonen, som i 2015 ble forvandlet til et frittstående prosjekt med uavhengig ledelse fra Mozilla.
Selv om Rust har utviklet seg autonomt siden den gang, har Mozilla gitt økonomisk og juridisk støtte. Disse aktivitetene vil nå overføres til en ny organisasjon opprettet spesielt for Rusts kurator.
Denne organisasjonen kan sees på som et nøytralt nettsted som ikke er fra Mozilla, noe som gjør det lettere å tiltrekke seg nye selskaper for å støtte Rust og øke levedyktigheten til prosjektet.
Nytt belønningsprogram
Nok en annonse hva Mozilla ga ut er at det utvider sitt initiativ til å betale kontantbelønning for å identifisere sikkerhetsproblemer i Firefox.
I tillegg til selve sårbarhetene, programmet Bug Bounty nå også vil dekke metoder for å omgå mekanismene tilgjengelig i nettleseren som forhindrer utnyttelse fra å fungere.
Disse mekanismene inkluderer et system for å rense HTML-fragmenter før det brukes i en privilegert sammenheng, dele minne for DOM-noder og Strings / ArrayBuffers, forkaste eval () i systemkonteksten og i hovedprosessen, håndheve strenge CSP (Security Policy) -begrensninger. innhold) til tjenestesidene "about: config", som forbyr lasting av andre sider enn "chrome: //", "resource: //" og "about:" i hovedprosessen, forbyder kjøring av kode Ekstern JavaScript i hovedprosessen, omgå privilegerte delingsmekanismer (brukes til å opprette nettlesergrensesnittet) og ikke-privilegert JavaScript-kode.
En glemt sjekk for eval () i Web Worker-tråder er gitt som et eksempel på en feil som kvalifiserer for betaling av en ny belønning.
Hvis det identifiseres en sårbarhet og beskyttelsesmekanismer er utelatt mot utnyttelser, etterforskeren kan motta ytterligere 50% av grunnbelønningen tildelt for det identifiserte sårbarheten (for eksempel for et UXSS-sårbarhet som omgår HTML Sanitizer-mekanismen, vil det være mulig å motta $ 7,000 pluss en premie på $ 3,500).
Spesielt utvidelsen av belønningsprogrammet for uavhengige forskere skjer i sammenheng med den nylig oppsigelsen av 250 ansatte fra Mozilla, som inkluderte hele Threat Management Team som var ansvarlig for å oppdage og analysere hendelser, samt en del av sikkerhetsteamet.
Videre endring i reglene for å anvende programmet rapporteres belønning for sårbarheter identifisert i nattlige bygninger.
Det bør bemerkes at disse sårbarhetene ofte oppdages umiddelbart under prosessen med automatiserte interne kontroller og fuzzing-tester.
Disse feilrapportene forbedrer ikke Firefox-sikkerhetsmekanismer eller fuzzing-testmekanismer, så nattlige bygg vil bare bli belønnet for sårbarheter hvis problemet har vært til stede i hovedregisteret i mer enn 4 dager og ikke har blitt identifisert av interne gjennomganger og Mozilla-ansatte.