Rust Core ekibi ve Mozilla açıkladı yaratma niyetiniz Rust Foundation, bağımsız bir kar amacı gütmeyen kuruluş yıl sonuna kadar Rust projesiyle ilişkili fikri mülkiyet aktarılacaktırRust, Cargo ve crates.io ile ilişkili ticari markalar ve alan adları dahil.
Organizasyon ayrıca projenin finansmanını organize etmekten sorumlu olacak. Rust ve Cargo, yeni organizasyona aktarılmadan önce Mozilla'nın sahip olduğu ticari markalardır ve dağıtımlarda paketlerin dağıtımında bazı zorluklar yaratan oldukça katı kullanım kısıtlamalarına tabidir.
Özellikle kullanım Şartları Mozilla ticari markası değişiklik veya yama olması durumunda proje adının saklanmasını yasaklar.
Dağıtımlar, Rust ve Cargo adlı bir paketi yalnızca orijinal kaynaklardan derlenmişse yeniden dağıtabilir; aksi takdirde, Rust Core ekibinden önceden yazılı izin veya isim değişikliği gereklidir.
Bu özellik, Rust ve Cargo ile paketlerdeki hataların ve güvenlik açıklarının, yukarı akışla değişiklikleri koordine etmeden hızlı ve bağımsız bir şekilde kaldırılmasına müdahale eder.
Bunu unutma Rust başlangıçta bir proje olarak geliştirildi Mozilla Araştırma bölümünden, 2015 yılında Mozilla'nın bağımsız yönetimi ile bağımsız bir projeye dönüştürüldü.
Rust o zamandan beri özerk olarak gelişmesine rağmen, Mozilla finansal ve yasal destek sağladı. Bu aktiviteler şimdi Rust'un küratörlüğü için özel olarak oluşturulmuş yeni bir organizasyona aktarılacak.
Bu organizasyon, Mozilla olmayan tarafsız bir site olarak görülebilir, bu da Rust'u desteklemek ve projenin uygulanabilirliğini artırmak için yeni şirketlerin ilgisini çekmeyi kolaylaştırır.
Yeni ödül programı
Başka bir reklam Mozilla ne yayınladı Firefox'taki güvenlik sorunlarını tespit etmek için nakit ödüller ödeme girişimini genişletiyor.
Güvenlik açıklarına ek olarak, Bug Bounty programı Şimdi de mekanizmaları aşmak için yöntemleri kapsayacak açıkların çalışmasını engelleyen tarayıcıda mevcuttur.
Bu mekanizmalar şunları içerir: Ayrıcalıklı bir bağlamda kullanılmadan önce HTML parçalarını temizlemek için bir sistem, DOM düğümleri ve Dizeler / ArrayBuffers için bellek paylaşma, sistem bağlamında ve ana süreçte eval () 'i reddederek, katı CSP (Güvenlik Politikası) kısıtlamaları. içerik) uygulamak için Ana işlemde "chrome: //", "resource: //" ve "about:" dışındaki sayfaların yüklenmesini yasaklayan "about: config" hizmet sayfaları, ana işlemde Harici JavaScript kod çalıştırmayı yasaklar, ayrıcalıklı paylaşım mekanizmalarını (tarayıcı arayüzünü oluşturmak için kullanılır) ve ayrıcalıklı olmayan JavaScript kodunu atlayarak.
Web Çalışanı iş parçacıklarında unutulmuş bir çek (), yeni bir ödülün ödenmesini sağlayan bir hataya örnek olarak verilmiştir.
Bir güvenlik açığı tespit edilirse ve koruma mekanizmaları atlandı istismarlara karşı, araştırmacı, temel ödülün% 50'sini daha alabilir tespit edilen güvenlik açığı için ödüllendirildi (örneğin, HTML Temizleyici mekanizmasını atlayan bir UXSS güvenlik açığı için 7,000 $ artı 3,500 $ prim almak mümkün olacak).
Özellikle ödül programının genişletilmesi bağımsız araştırmacılar için 250 çalışanın işten çıkarılması bağlamında meydana gelir olayları tespit etmek ve analiz etmekten sorumlu tüm Tehdit Yönetimi Ekibi'nin yanı sıra güvenlik ekibinin bir parçası olan Mozilla'dan.
Buna ek olarak, programı uygulamak için kurallarda bir değişiklik rapor edildi gece yapılan derlemelerde tespit edilen güvenlik açıkları için ödül.
Bu güvenlik açıklarının genellikle otomatik dahili kontroller ve fuzzing testleri sürecinde hemen keşfedildiği unutulmamalıdır.
Bu hata raporları, Firefox güvenliğini veya fuzzing test mekanizmalarını iyileştirmez; bu nedenle, gecelik yapılan derlemeler, yalnızca sorun ana depoda 4 günden daha uzun süredir mevcutsa ve dahili incelemeler ve Mozilla çalışanları tarafından tespit edilmemişse güvenlik açıkları için ödüllendirilecektir.