A equipe Rust Core e a Mozilla anunciaram sua intenção de criar o Rust Foundation, uma organização independente sem fins lucrativos até o final do ano, para o qual a propriedade intelectual associada ao projeto Rust será transferida, incluindo marcas registradas e nomes de domínio associados a Rust, Cargo e crates.io.
A organização também será responsável por organizar o financiamento do projeto. Rust e Cargo são marcas registradas de propriedade da Mozilla antes da transferência para a nova organização e estão sujeitas a restrições de uso bastante rígidas, o que cria algumas dificuldades com a distribuição de pacotes em distribuições.
Em particular, termos de uso Marca registrada da Mozilla proíbe a retenção do nome do projeto em caso de alterações ou patches.
As distribuições podem redistribuir um pacote denominado Rust and Cargo apenas se ele for compilado a partir das fontes originais; caso contrário, é necessária a permissão prévia por escrito da equipe Rust Core ou uma mudança de nome.
Esse recurso interfere na remoção rápida e independente de bugs e vulnerabilidades em pacotes com Rust e Cargo sem coordenar as mudanças com o upstream.
Lembre-se que Rust foi originalmente desenvolvido como um projeto da divisão Mozilla Research, que em 2015 foi transformado em um projeto autônomo com gestão independente da Mozilla.
Embora Rust tenha evoluído de forma autônoma desde então, a Mozilla forneceu suporte financeiro e legal. Essas atividades agora serão transferidas para uma nova organização criada especificamente para a curadoria de Rust.
Esta organização pode ser vista como um site neutro não Mozilla, tornando mais fácil atrair novas empresas para apoiar o Rust e aumentar a viabilidade do projeto.
Novo programa de recompensas
Outro anúncio o que a Mozilla lançou é que está expandindo sua iniciativa de pagar recompensas em dinheiro pela identificação de problemas de segurança no Firefox.
Além das próprias vulnerabilidades, o programa Bug Bounty agora também irá abranger métodos para contornar os mecanismos disponíveis no navegador que impedem o funcionamento de exploits.
Esses mecanismos incluem um sistema para limpar fragmentos de HTML antes de serem usados em um contexto privilegiado, compartilhando memória para nós DOM e Strings / ArrayBuffers, rejeitando eval () no contexto do sistema e no processo principal, impondo restrições CSP (Política de Segurança) estritas. conteúdo) para as páginas de serviço "about: config", que proíbe o carregamento de páginas diferentes de "chrome: //", "resource: //" e "about:" no processo principal, proíbe a execução de código JavaScript externo no processo principal, contornando mecanismos de compartilhamento privilegiado (usados para criar a interface do navegador) e código JavaScript não privilegiado.
Uma verificação esquecida para eval () em threads do Web Worker é fornecida como um exemplo de um erro que se qualifica para o pagamento de uma nova recompensa.
Se uma vulnerabilidade for identificada e os mecanismos de proteção são omitidos contra explorações, o investigador pode receber um adicional de 50% da recompensa base concedido para a vulnerabilidade identificada (por exemplo, para uma vulnerabilidade UXSS que contorna o mecanismo HTML Sanitizer, será possível receber $ 7,000 mais um prêmio de $ 3,500).
Em particular, a expansão do programa de recompensas para pesquisadores independentes ocorre no contexto da recente demissão de 250 funcionários da Mozilla, que incluiu toda a Equipe de Gerenciamento de Ameaças responsável pela detecção e análise de incidentes, bem como parte da equipe de segurança.
Além disso, uma mudança nas regras para aplicar o programa é relatada recompensa por vulnerabilidades identificadas em compilações noturnas.
Deve-se observar que essas vulnerabilidades são freqüentemente descobertas imediatamente durante o processo de verificações internas automatizadas e testes de difusão.
Esses relatórios de bug não melhoram a segurança do Firefox ou os mecanismos de teste de difusão, então compilações noturnas só serão recompensadas por vulnerabilidades se o problema estiver presente no repositório principal por mais de 4 dias e não tiver sido identificado por análises internas e funcionários da Mozilla.