Napovedala sta ekipa Rust Core in Mozilla vaš namen ustvariti Fundacija Rust, neodvisna neprofitna organizacija do konca leta, do katerega intelektualna lastnina, povezana s projektom Rust, bo prenesena, vključno z blagovnimi znamkami in imeni domen, povezanimi z Rust, Cargo in crates.io.
Organizacija bo odgovoren tudi za organizacijo financiranja projekta. Rust in Cargo sta blagovni znamki v lasti Mozille pred prenosom v novo organizacijo in zanje veljajo dokaj stroge omejitve uporabe, kar ustvarja nekatere težave pri distribuciji paketov v distribucijah.
Še posebej pogoji uporabe Blagovna znamka Mozilla prepovedujejo hrambo imena projekta v primeru sprememb ali popravkov.
Distribucije lahko znova distribuirajo paket z imenom Rust and Cargo samo, če je sestavljen iz prvotnih virov; v nasprotnem primeru je potrebno predhodno pisno dovoljenje ekipe Rust Core ali sprememba imena.
Ta funkcija ovira hitro neodvisno odstranjevanje napak in ranljivosti v paketih z Rust in Cargo, ne da bi usklajevala spremembe s predhodnikom.
Zapomni si to Rust je bil prvotno razvit kot projekt iz oddelka Mozilla Research, ki se je leta 2015 preoblikoval v samostojen projekt z neodvisnim vodstvom Mozille.
Čeprav se je Rust od takrat avtonomno razvijal, je Mozilla zagotovila finančno in pravno podporo. Te dejavnosti se bodo zdaj prenesle na novo organizacijo, ki je bila ustvarjena posebej za Rustovo kustos.
Na to organizacijo lahko gledamo kot na nevtralno spletno mesto, ki ni Mozilla, kar olajša privabljanje novih podjetij, ki podpirajo Rusta, in povečanje uspešnosti projekta.
Nov program nagrad
Še en oglas kaj je Mozilla izdala je, da širi svojo pobudo za izplačilo denarnih nagrad za prepoznavanje varnostnih težav v Firefoxu.
Poleg samih ranljivosti, program Bug Bounty zdaj tudi bodo zajemale metode za izogibanje mehanizmom na voljo v brskalniku, ki preprečujejo, da bi zlorabe delovale
Ti mehanizmi vključujejo sistem za čiščenje fragmentov HTML pred uporabo v privilegiranem kontekstu, deljenje pomnilnika za vozlišča DOM in Strings / ArrayBuffers, odpoved eval () v sistemskem kontekstu in v glavnem postopku, uveljavljanje strogih omejitev CSP (varnostne politike). storitvene strani "about: config", ki prepovedujejo nalaganje strani, ki niso "chrome: //", "resource: //" in "about:" v glavnem procesu, prepoveduje izvajanje kode Zunanji JavaScript v glavnem procesu, obiti privilegirane mehanizme skupne rabe (ki se uporabljajo za ustvarjanje vmesnika brskalnika) in neprivilegirano kodo JavaScript
Pozabljeni ček za eval () v nitih Web Worker je podan kot primer napake, ki izpolnjuje pogoje za izplačilo nove nagrade.
Če je ugotovljena ranljivost in zaščitni mehanizmi so izpuščeni proti izkoriščanju, preiskovalec lahko prejme dodatnih 50% osnovne nagrade dodeljena za ugotovljeno ranljivost (na primer za ranljivost UXSS, ki zaobide mehanizem HTML Sanitizer, bo mogoče prejeti 7,000 USD in premijo 3,500 USD).
Še posebej razširitev programa nagrad za neodvisne raziskovalce se zgodi v okviru nedavne odpovedi 250 zaposlenih iz Mozille, v katero je bila vključena celotna skupina za upravljanje groženj, odgovorna za odkrivanje in analizo incidentov, pa tudi del varnostne ekipe.
Poleg tega, poroča se o spremembi pravil za uporabo programa nagrada za ranljivosti, ugotovljene v nočnih gradnjah.
Treba je opozoriti, da se te ranljivosti pogosto odkrijejo takoj med postopkom avtomatiziranih notranjih preverjanj in mehkih testov.
Ta poročila o napakah ne izboljšujejo varnosti Firefoxa ali mehanizmov preizkušanja, zato bodo nočne gradnje nagrajene za ranljivosti le, če je bila težava prisotna v glavnem skladišču več kot 4 dni in je niso ugotovili notranji pregledi in zaposleni v Mozilli.