Tím Rust Core a Mozilla to oznámili váš zámer vytvoriť Rust Foundation, nezávislá nezisková organizácia do konca roka, ku ktorému dôjde k prevodu duševného vlastníctva súvisiaceho s projektom Rust, vrátane ochranných značiek a doménových mien spojených s Rust, Cargo a crates.io.
Organizácia bude tiež zodpovedný za organizáciu financovania projektu. Rust a Cargo sú ochranné známky vlastnené spoločnosťou Mozilla pred prevodom na novú organizáciu a podliehajú pomerne prísnym obmedzeniam používania, čo spôsobuje určité ťažkosti s distribúciou balíkov v distribúciách.
Najmä podmienky používania Ochranná známka Mozilla zakazujú uchovanie názvu projektu v prípade zmien alebo opráv.
Distribúcie môžu redistribuovať balík s názvom Rust and Cargo, iba ak je zostavený z pôvodných zdrojov; inak je potrebný predchádzajúci písomný súhlas tímu Rust Core alebo zmena názvu.
Táto vlastnosť zasahuje do rýchleho nezávislého odstraňovania chýb a zraniteľností v balíkoch s programami Rust a Cargo bez koordinácie zmien s predchádzajúcou verziou.
Pamätajte na to Rust bol pôvodne vyvinutý ako projekt z divízie Mozilla Research, ktorý sa v roku 2015 pretransformoval na samostatný projekt s nezávislým vedením od Mozilly.
Aj keď sa odvtedy Rust vyvinul autonómne, spoločnosť Mozilla poskytla finančnú a právnu podporu. Tieto aktivity sa teraz prevedú do novej organizácie vytvorenej špeciálne pre Rustovu kuráciu.
Túto organizáciu je možné považovať za neutrálny web, ktorý nepochádza od spoločnosti Mozilla, a uľahčuje tak prilákanie nových spoločností na podporu Rustu a zvýšenie životaschopnosti projektu.
Nový program odmien
Ďalší inzerát čo Mozilla vydala spočíva v tom, že rozširuje svoju iniciatívu vyplácania hotovostných odmien za identifikáciu bezpečnostných problémov vo Firefoxe.
Okrem samotných zraniteľností program Bug Bounty aj teraz pokryje metódy obchádzania mechanizmov dostupné v prehľadávači, ktoré zabraňujú zneužitiu.
Tieto mechanizmy zahŕňajú systém na čistenie fragmentov HTML pred použitím v privilegovanom kontexte, zdieľanie pamäte pre uzly DOM a Strings / ArrayBuffers, dištancovanie sa od eval () v systémovom kontexte a v hlavnom procese, presadzovanie prísnych obmedzení CSP (Security Policy). obsahu) na stránky služieb „about: config“, ktoré v hlavnom procese zakazujú načítanie iných stránok ako „chrome: //“, „resource: //“ a „about:“, zakazujú vykonávanie kódu externým jazykom JavaScript v hlavnom procese, obchádzanie mechanizmov privilegovaného zdieľania (používaných na vytvorenie rozhrania prehliadača) a neprivilegovaného kódu JavaScript.
Zabudnutá kontrola na eval () vo vláknach Web Worker sa uvádza ako príklad chyby, ktorá spĺňa podmienky na vyplatenie novej odmeny.
Ak sa zistí zraniteľnosť a ochranné mechanizmy sú vynechané proti vykorisťovaniu, vyšetrovateľ môže dostať ďalších 50% základnej odmeny udelené za identifikovanú zraniteľnosť (napríklad za zraniteľnosť UXSS, ktorá obchádza mechanizmus HTML Sanitizer, bude možné získať 7,000 3,500 dolárov plus prémiu XNUMX XNUMX dolárov).
Najmä rozšírenie programu odmien pre nezávislých výskumných pracovníkov nastáva v súvislosti s nedávnym prepustením 250 zamestnancov od spoločnosti Mozilla, ktorá zahŕňala celý tím správy hrozieb zodpovedný za detekciu a analýzu incidentov, ako aj časť bezpečnostného tímu.
Okrem toho, nahlásila sa zmena v pravidlách uplatňovania programu odmena za zraniteľné miesta identifikované v nočných zostaveniach.
Je potrebné poznamenať, že tieto chyby sú často odhalené okamžite počas procesu automatizovaných interných kontrol a fuzzing testov.
Tieto hlásenia o chybách nezlepšujú zabezpečenie prehliadača Firefox ani nezasahujú do testovacích mechanizmov, takže nočné zostavy budú odmenené za chyby zabezpečenia, iba ak bude problém v hlavnom úložisku prítomný dlhšie ako 4 dni a nebol identifikovaný internými kontrolami a zamestnancami Mozilly.