Најавили су тим Руст Цоре и Мозилла своју намеру да створите Фондација Руст, независна непрофитна организација до краја године, на коју биће пренета интелектуална својина повезана са пројектом Руст, укључујући заштитне знакове и имена домена повезаних са Руст, Царго и цратес.ио.
Организација такође ће бити одговорна за организацију финансирања пројекта. Руст анд Царго су заштитни жигови у власништву Мозиле пре преноса у нову организацију и подлежу прилично строгим ограничењима употребе, што ствара одређене потешкоће са дистрибуцијом пакета у дистрибуцијама.
Нарочито услови коришћења Заштитни знак Мозилла забранити задржавање назива пројекта у случају промена или закрпа.
Дистрибуције могу поново дистрибуирати пакет под називом Руст анд Царго само ако је састављен из изворних извора; у супротном, потребно је претходно писмено одобрење тима Руст Цоре или промена имена.
Ова функција омета брзо независно уклањање грешака и рањивости у пакетима са Рустом и Царгоом без координирања промена са узводним протоком.
Подсетимо се да Руст је првобитно развијен као пројекат из одељења Мозилла Ресеарцх, који је 2015. године трансформисан у самостални пројекат са независним менаџментом из Мозиле.
Иако је Руст од тада аутономно еволуирао, Мозилла је пружила финансијску и правну подршку. Ове активности ће се сада пренети на нову организацију створену специјално за рустовање.
Ова организација се може посматрати као неутрална локација која није Мозилла, што олакшава привлачење нових компанија да подрже Руст и повећава одрживост пројекта.
Нови програм награђивања
Још један оглас оно што је Мозилла пустила је да проширује своју иницијативу за исплату новчаних награда за идентификовање сигурносних проблема у Фирефоку.
Поред самих рањивости, програм Буг Боунти сада такође покриваће методе за заобилажење механизама доступни у прегледачу који спречавају експлоатацију.
Ови механизми укључују систем за чишћење ХТМЛ фрагмената пре употребе у привилегованом контексту, дељење меморије за ДОМ чворове и Стрингс / АрраиБуфферс, онемогућавање евал () у системском контексту и у главном процесу, примена строгог ЦСП (садржај безбедносне политике) на услугу странице "абоут: цонфиг", која забрањује учитавање страница осим "цхроме: //", "ресоурце: //" и "абоут:" у главном процесу, забрањује извршавање кода Спољни ЈаваСцрипт у главном процесу, заобилазећи привилеговане механизми за дељење (који се користе за креирање интерфејса прегледача) и непривилеговани ЈаваСцрипт код.
Заборављени чек за евал () у нитима Веб Воркер дат је као пример грешке која испуњава услове за исплату нове награде.
Ако се утврди рањивост а изостављени су заштитни механизми против подвига, истражитељ може добити додатних 50% основне награде додељује се за идентификовану рањивост (на пример, за УКССС рањивост која заобилази механизам ХТМЛ Санитизер, биће могуће добити 7,000 УСД плус премију од 3,500 УСД).
Нарочито проширење програма награђивања за независне истраживаче се дешава у контексту недавног отпуштања 250 запослених из Мозиле, у који је био укључен читав тим за управљање претњама одговоран за откривање и анализу инцидената, као и део безбедносног тима.
Поред тога, пријављује се промена правила за примену програма награда за рањивости идентификоване у ноћним верзијама.
Треба напоменути да се ове рањивости често откривају одмах током процеса аутоматских интерних провера и фуззинг тестова.
Ови извештаји о грешкама не побољшавају Фирефок-ову безбедност или механизме нејасног тестирања, па ће ноћне верзије бити награђене за рањивости само ако је проблем присутан у главном спремишту дуже од 4 дана и нису га идентификовали интерни прегледи и запослени у Мозилли.