Rust Core-teamet och Mozilla har meddelat din avsikt att skapa Rust Foundation, en oberoende ideell organisation i slutet av året, till vilket den immateriella egendom som är förknippad med Rust-projektet kommer att överföras, inklusive varumärken och domännamn associerade med Rust, Cargo och crates.io.
Organisationen kommer också att ansvara för att organisera finansieringen av projektet. Rust och Cargo är varumärken som ägs av Mozilla före överföringen till den nya organisationen och är föremål för ganska strikta användningsrestriktioner, vilket skapar vissa svårigheter med distributionen av paket i distributioner.
I synnerhet villkor Mozilla varumärke de förbjuder lagring av projektnamnet vid ändringar eller korrigeringar.
Distributioner kan bara distribuera ett paket med namnet Rust och Cargo om det är sammanställt från de ursprungliga källorna. annars krävs skriftligt tillstånd från Rust Core-teamet eller ett namnbyte.
Den här funktionen stör snabbt oberoende borttagning av buggar och sårbarheter i paket med Rust och Cargo utan att samordna ändringar med uppströms.
Minns att Rost utvecklades ursprungligen som ett projekt från Mozilla Research-avdelningen, som 2015 förvandlades till ett fristående projekt med oberoende ledning från Mozilla.
Även om Rust har utvecklats självständigt sedan dess har Mozilla tillhandahållit ekonomiskt och juridiskt stöd. Dessa aktiviteter kommer nu att överföras till en ny organisation som skapats speciellt för Rust.
Denna organisation kan ses som en neutral webbplats som inte är Mozilla, vilket gör det lättare att locka nya företag att stödja Rust och öka livskraften i projektet.
Nytt belöningsprogram
En annan annons vad Mozilla släppte är att det utvidgar sitt initiativ för att betala kontantbelöningar för att identifiera säkerhetsproblem i Firefox.
Förutom själva sårbarheterna, programmet Bug Bounty nu också kommer att täcka metoder för att kringgå mekanismerna tillgängligt i webbläsaren som förhindrar att exploatering fungerar.
Dessa mekanismer inkluderar ett system för att rengöra HTML-fragment innan de används i ett privilegierat sammanhang, dela minne för DOM-noder och Strings / ArrayBuffers, avvisa eval () i systemkontexten och i huvudprocessen, genomdriva strikta CSP-begränsningar (säkerhetspolicy). innehåll) till tjänstesidorna "about: config", som förbjuder laddning av andra sidor än "chrome: //", "resource: //" och "about:" i huvudprocessen, förbjuder exekvering av kod extern JavaScript i huvudprocessen, kringgå privilegierade delningsmekanismer (används för att skapa webbläsargränssnittet) och icke-privilegierad JavaScript-kod.
En glömd check för eval () i trådarna i Web Worker ges som ett exempel på ett fel som berättigar till betalning av en ny belöning.
Om en sårbarhet identifieras och skyddsmekanismer utelämnas mot exploateringar, utredaren kan få ytterligare 50% av basbelöningen tilldelas för den identifierade sårbarheten (till exempel för en UXSS-sårbarhet som kringgår HTML Sanitizer-mekanismen kommer det att vara möjligt att få 7,000 3,500 USD plus en premie på XNUMX XNUMX USD).
I synnerhet utvidgningen av belöningsprogrammet för oberoende forskare inträffar i samband med det nyligen avskedade 250 anställda från Mozilla, som inkluderade hela Threat Management Team som ansvarar för att upptäcka och analysera incidenter, samt en del av säkerhetsteamet.
Dessutom, en ändring av reglerna för tillämpning av programmet rapporteras belöning för sårbarheter som identifierats i nattliga byggnader.
Det bör noteras att dessa sårbarheter ofta upptäcks omedelbart under processen med automatiserade interna kontroller och tuffa tester.
Dessa buggrapporter förbättrar inte Firefox-säkerheten eller tuffa testmekanismer, så nattliga byggnader kommer bara att belönas för sårbarheter om problemet har funnits i huvudförvaret i mer än fyra dagar och inte har identifierats av interna recensioner och Mozilla-anställda.