Команда Rust Core и Mozilla объявили ваше намерение создать Rust Foundation, независимая некоммерческая организация к концу года, к которому интеллектуальная собственность, связанная с проектом Rust, будет передана, включая товарные знаки и доменные имена, связанные с Rust, Cargo и crates.io.
Организация также будет отвечать за организацию финансирования проекта. Rust и Cargo являются товарными знаками, принадлежавшими Mozilla до передачи в новую организацию, и на них распространяются довольно строгие ограничения на использование, что создает некоторые трудности при распространении пакетов в дистрибутивах.
В частности, Условия эксплуатации Торговая марка Mozilla они запрещают сохранение названия проекта в случае изменений или исправлений.
Дистрибутивы могут распространять пакет с именем Rust и Cargo, только если он скомпилирован из исходных кодов; в противном случае требуется предварительное письменное разрешение команды Rust Core или изменение имени.
Эта функция препятствует быстрому независимому удалению ошибок и уязвимостей в пакетах с Rust и Cargo без согласования изменений с апстримом.
Напомним, что Изначально Rust разрабатывался как проект из отдела Mozilla Research, который в 2015 году был преобразован в отдельный проект с независимым управлением от Mozilla.
Хотя с тех пор Rust развивался автономно, Mozilla оказала финансовую и юридическую поддержку. Теперь эти действия будут переданы новой организации, созданной специально для курирования Rust.
Эту организацию можно рассматривать как нейтральный сайт, не относящийся к Mozilla, что упрощает привлечение новых компаний для поддержки Rust и повышения жизнеспособности проекта.
Новая программа вознаграждений
Другое объявление что выпустила Mozilla заключается в том, что он расширяет свою инициативу по выплате денежных вознаграждений за выявление проблем безопасности в Firefox.
Помимо самих уязвимостей, программа Bug Bounty сейчас тоже расскажет о методах обхода механизмов доступны в браузере, препятствующие работе эксплойтов.
Эти механизмы включают система очистки HTML-фрагментов перед использованием в привилегированном контексте, совместное использование памяти для узлов DOM и Strings / ArrayBuffers, отключение eval () в системном контексте и в основном процессе, соблюдение строгих ограничений CSP (политики безопасности). content) для служебные страницы «about: config», которые запрещают загрузку страниц, кроме «chrome: //», «resource: //» и «about:» в основном процессе, запрещают выполнение кода Внешний JavaScript в основном процессе, в обход механизмов привилегированного совместного использования (используемых для создания интерфейса браузера) и непривилегированного кода JavaScript.
Забытая проверка eval () в потоках Web Worker приведена в качестве примера ошибки, которая дает право на выплату нового вознаграждения.
Если обнаружена уязвимость и механизмы защиты опущены против подвигов, исследователь может получить дополнительно 50% от базовой награды присуждается за выявленную уязвимость (например, за уязвимость UXSS, которая обходит механизм HTML Sanitizer, можно будет получить 7,000 долларов плюс надбавка в размере 3,500 долларов).
В частности, расширение программы вознаграждений для независимых исследователей происходит в контексте недавнего увольнения 250 сотрудников от Mozilla, в который входила вся группа управления угрозами, ответственная за обнаружение и анализ инцидентов, а также часть группы безопасности.
Кроме того, сообщается об изменении правил применения программы вознаграждение за уязвимости, обнаруженные в ночных сборках.
Следует отметить, что эти уязвимости часто обнаруживаются сразу же в процессе автоматизированных внутренних проверок и фаззинговых тестов.
Эти отчеты об ошибках не улучшают безопасность Firefox или механизмы фаззинга, поэтому ночные сборки будут вознаграждены за уязвимости только в том случае, если проблема присутствует в основном репозитории более 4 дней и не была выявлена внутренними проверками и сотрудниками Mozilla.