ทีมงาน Rust Core และ Mozilla ได้ประกาศ ความตั้งใจของคุณในการสร้างไฟล์ Rust Foundation ซึ่งเป็นองค์กรอิสระที่ไม่แสวงหาผลกำไร ภายในสิ้นปีที่จะถึงนี้ ทรัพย์สินทางปัญญาที่เกี่ยวข้องกับโครงการ Rust จะถูกโอนไปรวมถึงเครื่องหมายการค้าและชื่อโดเมนที่เกี่ยวข้องกับ Rust, Cargo และ crates.io
องค์กร จะต้องรับผิดชอบในการจัดการจัดหาเงินทุนของโครงการด้วย. Rust and Cargo เป็นเครื่องหมายการค้าของ Mozilla ก่อนที่จะมีการโอนย้ายไปยังองค์กรใหม่และอยู่ภายใต้ข้อ จำกัด การใช้งานที่ค่อนข้างเข้มงวดซึ่งสร้างความยุ่งยากในการจัดจำหน่ายแพ็คเกจในการแจกจ่าย
โดยเฉพาะอย่างยิ่ง เงื่อนไขการใช้บริการ เครื่องหมายการค้า Mozilla ห้ามไม่ให้มีการเก็บรักษาชื่อโครงการในกรณีที่มีการเปลี่ยนแปลงหรือแก้ไข
การแจกจ่ายสามารถแจกจ่ายแพ็กเกจที่ชื่อ Rust and Cargo ได้ต่อเมื่อรวบรวมจากแหล่งที่มาดั้งเดิม มิฉะนั้นจะต้องได้รับอนุญาตเป็นลายลักษณ์อักษรล่วงหน้าจากทีมงาน Rust Core หรือต้องเปลี่ยนชื่อ
คุณลักษณะนี้ขัดขวางการกำจัดจุดบกพร่องและช่องโหว่ในหีบห่อด้วย Rust และ Cargo โดยไม่ประสานการเปลี่ยนแปลงกับต้นน้ำ
จำไว้ว่า เดิมสนิมได้รับการพัฒนาเป็นโครงการ จากแผนก Mozilla Researchซึ่งในปี 2015 ได้เปลี่ยนเป็นโครงการแบบสแตนด์อโลนโดยมีการจัดการอิสระจาก Mozilla
แม้ว่า Rust จะมีการพัฒนาอย่างเป็นอิสระตั้งแต่นั้นมา Mozilla ก็ให้การสนับสนุนทางการเงินและกฎหมาย ตอนนี้กิจกรรมเหล่านี้จะโอนไปยังองค์กรใหม่ที่สร้างขึ้นเพื่อการดูแลของ Rust โดยเฉพาะ
องค์กรนี้สามารถมองว่าเป็นไซต์ที่ไม่ใช่ Mozilla ที่เป็นกลางทำให้ง่ายต่อการดึงดูด บริษัท ใหม่ ๆ เพื่อสนับสนุน Rust และเพิ่มความเป็นไปได้ของโครงการ
โปรแกรมรางวัลใหม่
โฆษณาอื่น สิ่งที่ Mozilla เปิดตัว คือการขยายความคิดริเริ่มในการจ่ายรางวัลเป็นเงินสดสำหรับการระบุปัญหาด้านความปลอดภัยใน Firefox
นอกจากช่องโหว่เองแล้ว โปรแกรม Bug Bounty ตอนนี้ก็เช่นกัน จะครอบคลุมวิธีการเพื่อหลีกเลี่ยงกลไก พร้อมใช้งานในเบราว์เซอร์ที่ป้องกันการหาประโยชน์จากการทำงาน
กลไกเหล่านี้ ได้แก่ ระบบสำหรับทำความสะอาดส่วน HTML ก่อนที่จะใช้ในบริบทที่มีสิทธิพิเศษการแชร์หน่วยความจำสำหรับโหนด DOM และ Strings / ArrayBuffers การปฏิเสธการประเมิน () ในบริบทของระบบและในกระบวนการหลักบังคับใช้ข้อ จำกัด CSP (นโยบายความปลอดภัย) ที่เข้มงวดเนื้อหา) กับ หน้าบริการ "about: config" ซึ่งห้ามไม่ให้โหลดหน้าอื่นที่ไม่ใช่ "chrome: //", "resource: //" และ "about:" ในกระบวนการหลักห้ามมิให้มีการเรียกใช้โค้ด External JavaScript ในกระบวนการหลัก ข้ามกลไกการแบ่งปันที่มีสิทธิพิเศษ (ใช้เพื่อสร้างอินเทอร์เฟซของเบราว์เซอร์) และรหัส JavaScript ที่ไม่ได้รับสิทธิพิเศษ
การตรวจสอบที่ถูกลืมสำหรับ eval () ในเธรด Web Worker จะได้รับเป็นตัวอย่างของข้อผิดพลาดที่มีคุณสมบัติสำหรับการจ่ายรางวัลใหม่
หากมีการระบุช่องโหว่ และกลไกการป้องกันถูกละเว้น ต่อต้านการหาประโยชน์ ผู้ตรวจสอบอาจได้รับเพิ่มอีก 50% ของรางวัลพื้นฐาน ได้รับรางวัลสำหรับช่องโหว่ที่ระบุ (ตัวอย่างเช่นสำหรับช่องโหว่ UXSS ที่ข้ามกลไกการฆ่าเชื้อ HTML คุณจะได้รับ $ 7,000 บวกกับเบี้ยประกันภัย $ 3,500)
โดยเฉพาะอย่างยิ่ง การขยายโปรแกรมรางวัล สำหรับนักวิจัยอิสระ เกิดขึ้นในบริบทของการเลิกจ้างพนักงาน 250 คนล่าสุด จาก Mozilla ซึ่งรวมถึงทีมจัดการภัยคุกคามทั้งหมดที่รับผิดชอบในการตรวจจับและวิเคราะห์เหตุการณ์รวมทั้งเป็นส่วนหนึ่งของทีมรักษาความปลอดภัย
นอกจากนี้ มีการรายงานการเปลี่ยนแปลงกฎในการใช้โปรแกรม รางวัลสำหรับช่องโหว่ที่ระบุในงานสร้างทุกคืน
ควรสังเกตว่าช่องโหว่เหล่านี้มักถูกค้นพบทันทีในระหว่างขั้นตอนการตรวจสอบภายในอัตโนมัติและการทดสอบแบบคลุมเครือ
รายงานข้อบกพร่องเหล่านี้ไม่ได้ปรับปรุงความปลอดภัยของ Firefox หรือกลไกการทดสอบที่คลุมเครือดังนั้นการสร้างทุกคืนจะได้รับรางวัลเฉพาะสำหรับช่องโหว่หากปัญหาอยู่ในที่เก็บข้อมูลหลักนานกว่า 4 วันและไม่ได้รับการระบุโดยการตรวจสอบภายในและพนักงานของ Mozilla