Zespół Rust Core i Mozilla ogłosiły Twój zamiar stworzenia Rust Foundation, niezależna organizacja non-profit do końca roku, do którego własność intelektualna związana z projektem Rust zostanie przeniesiona, w tym znaki towarowe i nazwy domen związane z Rust, Cargo i crates.io.
Organizacja będzie również odpowiedzialny za organizację finansowania projektu. Rust i Cargo są znakami towarowymi należącymi do Mozilli przed przeniesieniem do nowej organizacji i podlegają dość surowym ograniczeniom użytkowania, co stwarza pewne trudności z dystrybucją pakietów w dystrybucjach.
W szczególności Warunki korzystania Znak towarowy Mozilla zabraniają zachowywania nazwy projektu w przypadku zmian lub poprawek.
Dystrybucje mogą redystrybuować pakiet o nazwie Rust i Cargo tylko wtedy, gdy jest skompilowany z oryginalnych źródeł; w przeciwnym razie wymagana jest wcześniejsza pisemna zgoda zespołu Rust Core lub zmiana nazwy.
Ta funkcja koliduje z szybkim niezależnym usuwaniem błędów i luk w pakietach z Rust i Cargo bez koordynowania zmian z upstream.
Pamiętaj o tym Rust został pierwotnie opracowany jako projekt z działu Mozilla Research, który w 2015 roku został przekształcony w samodzielny projekt zarządzany niezależnie przez Mozillę.
Chociaż od tego czasu Rust rozwija się autonomicznie, Mozilla zapewnia wsparcie finansowe i prawne. Te działania zostaną teraz przeniesione do nowej organizacji utworzonej specjalnie dla kuratora Rusta.
Tę organizację można postrzegać jako neutralną witrynę inną niż Mozilla, co ułatwia przyciąganie nowych firm do wspierania Rusta i zwiększa rentowność projektu.
Nowy program nagród
Kolejna reklama co wydała Mozilla polega na tym, że rozszerza swoją inicjatywę wypłaty nagród pieniężnych za identyfikację problemów z bezpieczeństwem w Firefoksie.
Oprócz samych luk w zabezpieczeniach program Bug Bounty teraz też obejmie metody obejścia mechanizmów dostępne w przeglądarce, które uniemożliwiają działanie exploitów.
Te mechanizmy obejmują system czyszczenia fragmentów HTML przed ich użyciem w uprzywilejowanym kontekście, współdzielenie pamięci dla węzłów DOM i ciągów znaków / tablic, zrzekanie się funkcji eval () w kontekście systemowym i głównym procesie, egzekwowanie ścisłych ograniczeń CSP (polityka bezpieczeństwa). zawartość) w celu strony serwisowe „about: config”, które zabraniają ładowania stron innych niż „chrome: //”, „resource: //” i „about:” w procesie głównym, zabraniają wykonywania kodu Zewnętrzny JavaScript w procesie głównym, omijanie uprzywilejowanych mechanizmów udostępniania (wykorzystywanych do tworzenia interfejsu przeglądarki) i nieuprzywilejowanego kodu JavaScript.
Zapomniany czek na eval () w wątkach Web Workera jest podany jako przykład błędu, który kwalifikuje się do wypłaty nowej nagrody.
Jeśli zostanie zidentyfikowana luka a mechanizmy ochronne są pomijane przeciwko exploitom, Badacz może otrzymać dodatkowe 50% nagrody podstawowej przyznana za zidentyfikowaną lukę (na przykład za lukę UXSS, która omija mechanizm HTML Sanitizer, będzie można otrzymać 7,000 3,500 dolarów plus premia w wysokości XNUMX dolarów).
W szczególności rozszerzenie programu nagród dla niezależnych badaczy występuje w kontekście niedawnego zwolnienia 250 pracowników z Mozilli, w skład której wchodził cały Zespół Zarządzania Zagrożeniami odpowiedzialny za wykrywanie i analizowanie incydentów, a także część zespołu ds. bezpieczeństwa.
Ponadto, zgłaszana jest zmiana zasad stosowania programu nagroda za luki zidentyfikowane w nocnych kompilacjach.
Należy zauważyć, że luki te są często wykrywane natychmiast podczas procesu automatycznych kontroli wewnętrznych i testów fuzzingowych.
Te raporty o błędach nie poprawiają bezpieczeństwa Firefoksa ani mechanizmów testowania fuzzingu, więc nocne kompilacje będą nagradzane za luki w zabezpieczeniach tylko wtedy, gdy problem występuje w głównym repozytorium przez ponad 4 dni i nie został zidentyfikowany przez wewnętrzne recenzje i pracowników Mozilli.