Kooxda Rust Core iyo Mozilla ayaa ku dhawaaqay ujeedadaada inaad abuurto Rust Foundation, oo ah hay'ad madax-bannaan oo aan faa'iido doon ahayn dhamaadka sanadka, illaa iyo hantida aqooneed ee kuxiran mashruuca miridhku waa la wareejin doonaa, oo ay ku jiraan calaamadaha ganacsiga iyo magacyada domain ee la xiriira Rust, Cargo, iyo crates.io.
Ururka sidoo kale wuxuu mas'uul ka noqon doonaa abaabulka maalgelinta mashruuca. Rust iyo xamuul waa calaamado ganacsi oo ay leedahay Mozilla ka hor intaan loo wareejin ururka cusub waxaana lagu soo rogay xayiraad xaddidan oo adeegsi ah, taas oo dhibaato ku abuurta qaybinta baakadaha qaybinta.
Gaar ahaan shuruudaha isticmaalka Astaan ganacsi ee Mozilla waxay mamnuucayaan xafidaada magaca mashruuca hadiiba ay isbadalaan ama ay jiraan waxyaabo farabadan.
Qaybinta waxay dib u qaybin kartaa xirmo loogu magac daray Rust iyo Cargo kaliya haddii laga soo ururiyo ilaha asalka ah; haddii kale, oggolaansho qoraal ah oo horay uga yimid kooxda Rust Core ama magac beddel ayaa loo baahan yahay.
Astaantani waxay faragelin ku haysaa madaxbanaanida degdega ah ee cayayaanka iyo u nuglaanta xirmooyinka Rust iyo Cargo iyada oo aan la isku dubbarideynin isbeddelada dhinaca kore.
Xusuuso taas Rust waxaa markii hore loo soo saaray mashruuc ahaan ka socota qaybta cilmi-baarista ee Mozilla, kaas oo loo rogay 2015 mashruuc kaligiis taagan oo leh maamul ka madax banaan Mozilla.
In kasta oo miridhku si iskiis ah isu beddelay tan iyo markaas, haddana Mozilla waxay siisay taageero dhaqaale iyo mid sharci. Waxqabadyadan ayaa hadda loo wareejin doonaa urur cusub oo si gaar ah loogu abuuray daweynta Rust.
Ururkan waxaa loo arki karaa inuu yahay goob dhexdhexaad ah oo aan ka aheyn Mozilla, taasoo sahleysa soo jiidashada shirkado cusub si ay u taageeraan miridhku una kordhiyo jiritaanka mashruuca.
Barnaamijka abaalmarinta cusub
Xayeysiin kale waxa Mozilla sii deysay ayaa ah inay balaarinayso qorshaheeda si loo bixiyo abaalmarin lacageed marka la ogaado dhibaatooyinka xagga amniga ee Firefox.
Marka laga soo tago nuglaanta laftooda, barnaamijka Bug Bounty hadda sidoo kale dabooli doonaa habab looga gudbo farsamooyinka waxaa laga heli karaa biraawsarka oo ka hor tagaya ka faa'iideysiga inuu shaqeeyo
Farsamooyinkaas waxaa ka mid ah nidaam lagu nadiifiyo jajabyada HTML ka hor intaan loo isticmaalin xaalad gaar ah, wadaagista xusuusta DOM node iyo Strings / ArrayBuffers, diidmada eval () ee nidaamka macnaha guud iyo geeddi-socodka ugu weyn, hirgelinta xaddidaadda adag ee CSP (Siyaasadda Amniga). boggaga adeegga "ee ku saabsan: config", oo mamnuucaya rarista bogagga aan ka ahayn "chrome: //", "resource: //" iyo "about:" habka ugu weyn, wuxuu mamnuucayaa fulinta koodhka Dibadda JavaScript nidaamka ugu muhiimsan, ka gudubka hababka wadaagista ee mudnaanta leh (oo loo adeegsaday abuurista isku xidhka biraawsarka) iyo koodhka aan mudnaanta lahayn ee JavaScript.
Jeegga la iloobay ee eval () ee Mawduucyada Shaqaalaha Webka ayaa loo bixiyaa tusaale ahaan khalad u qalma bixinta abaalmarin cusub.
Haddii nuglaansho la aqoonsado hababka ilaalinta ayaa laga dhaafay ka dhanka ah ka faa'iidaysiga, baaruhu wuxuu heli karaa 50% dheeraad ah oo ah abaalmarinta aasaasiga ah Abaalmarinta u nuglaanshaha la aqoonsaday (tusaale ahaan, u nuglaanta UXSS ee hareer marta farsamada Sanitizer HTML, waxaa suuragal ah in la helo $ 7,000 oo lagu daray $ 3,500).
Gaar ahaan ballaarinta barnaamijka abaalmarinta cilmi baarayaasha madaxa banaan waxay dhacdaa marka la eego xil ka qaadistii dhowaan lagu sameeyay 250 shaqaale ka timid Mozilla, oo ay ku jireen dhammaan Kooxda Maareynta Khatarta ee mas'uulka ka ahaa baaritaanka iyo falanqaynta dhacdooyinka, iyo sidoo kale qayb ka mid ah kooxda amniga
Sidoo kale, isbedel lagu sameeyo xeerarka lagu dabakho barnaamijka ayaa la soo sheegay abaalmarin u nuglaanta loo aqoonsaday dhismayaasha habeenki.
Waa in la ogaadaa in nuglaantaas badiyaa la ogaado isla markiiba inta lagu gudajiro baaritaanka gudaha otomaatiga ah iyo tijaabooyinka shidaalka.
Warbixinadan bugta ah ma hagaajinayaan amniga Firefox ama habab farsamaynta tijaabada, sidaas darteed dhismayaasha habeenki waxaa kaliya lagu abaalmarin doonaa dayacanka haddii arintu ay ku jirtay keydka weyn in ka badan 4 maalmood oo aan lagu aqoonsan dib u eegista gudaha iyo shaqaalaha Mozilla.