Echipa Rust Core și Mozilla au anunțat intenția ta de a crea Rust Foundation, o organizație non-profit independentă până la sfârșitul anului, la care proprietatea intelectuală asociată cu proiectul Rust va fi transferată, inclusiv mărci comerciale și nume de domenii asociate cu Rust, Cargo și crates.io.
Organizatia va fi, de asemenea, responsabil pentru organizarea finanțării proiectului. Rust și Cargo sunt mărci comerciale deținute de Mozilla înainte de transferul către noua organizație și sunt supuse unor restricții de utilizare destul de stricte, ceea ce creează unele dificultăți cu distribuirea pachetelor în distribuții.
În special termeni de utilizare Marca comercială Mozilla interzice păstrarea numelui proiectului în cazul modificărilor sau corecțiilor.
Distribuțiile pot redistribui un pachet numit Rust and Cargo numai dacă este compilat din sursele originale; în caz contrar, este necesară permisiunea scrisă prealabilă din partea echipei Rust Core sau o modificare a numelui.
Această caracteristică interferează cu eliminarea rapidă independentă a erorilor și vulnerabilităților din pachetele cu Rust și Cargo fără a coordona modificările cu amonte.
Amintiți-vă că Rust a fost inițial dezvoltat ca un proiect de la divizia de cercetare Mozilla, care în 2015 a fost transformat într-un proiect de sine stătător cu management independent de Mozilla.
Deși Rust a evoluat autonom de atunci, Mozilla a oferit sprijin financiar și juridic. Aceste activități se vor transfera acum către o nouă organizație creată special pentru îngrijirea lui Rust.
Această organizație poate fi privită ca un site neutru non-Mozilla, ceea ce face mai ușoară atragerea de noi companii pentru a sprijini Rust și a crește viabilitatea proiectului.
Program nou de recompense
Un alt anunț ce a lansat Mozilla este că își extinde inițiativa de a plăti recompense în numerar pentru identificarea problemelor de securitate din Firefox.
Pe lângă vulnerabilitățile în sine, programul Bug Bounty si acum va acoperi metodele de eludare a mecanismelor disponibile în browser care împiedică exploatarea să funcționeze.
Aceste mecanisme includ un sistem de curățare a fragmentelor HTML înainte de a fi utilizat într-un context privilegiat, partajarea memoriei pentru nodurile DOM și Strings / ArrayBuffers, renegarea eval () în contextul sistemului și în procesul principal, impunând restricții stricte CSP (Politică de securitate). conținut) la paginile serviciului „about: config”, care interzice încărcarea altor pagini decât „chrome: //”, „resource: //” și „about:” în procesul principal, interzice executarea codului JavaScript extern în procesul principal, ocolind mecanismele de partajare privilegiate (utilizate pentru a crea interfața browserului) și codul JavaScript neprivilegiat.
O verificare uitată pentru eval () în firele Web Worker este dată ca exemplu de eroare care se califică pentru plata unei noi recompense.
Dacă este identificată o vulnerabilitate iar mecanismele de protecție sunt omise împotriva exploatărilor, anchetatorul poate primi 50% suplimentar din recompensa de bază acordat pentru vulnerabilitatea identificată (de exemplu, pentru o vulnerabilitate UXSS care ocolește mecanismul HTML Sanitizer, va fi posibil să primiți 7,000 USD plus o primă de 3,500 USD).
În special extinderea programului de recompense pentru cercetătorii independenți are loc în contextul concedierii recente a 250 de angajați de la Mozilla, care a inclus întreaga echipă de gestionare a amenințărilor responsabilă cu detectarea și analiza incidentelor, precum și o parte a echipei de securitate.
În plus, este raportată o modificare a regulilor de aplicare a programului recompensă pentru vulnerabilitățile identificate în versiunile nocturne.
Trebuie remarcat faptul că aceste vulnerabilități sunt adesea descoperite imediat în timpul procesului de verificări interne automate și teste de fuzzing.
Aceste rapoarte de erori nu îmbunătățesc securitatea Firefox sau mecanismele de testare a difuzării, astfel încât versiunile nocturne vor fi recompensate pentru vulnerabilități numai dacă problema a fost prezentă în depozitul principal de mai mult de 4 zile și nu a fost identificată de recenziile interne și de angajații Mozilla.