Команда Rust Core та Mozilla оголосили про це ваш намір створити Фонд іржі, незалежна некомерційна організація до кінця року, до якого інтелектуальна власність, пов'язана з проектом Rust, буде передана, включаючи торгові марки та доменні імена, пов’язані з Rust, Cargo та crates.io.
Організація також відповідатиме за організацію фінансування проекту. Rust and Cargo є товарними знаками, що належать Mozilla до передачі новій організації та підпадають під досить жорсткі обмеження щодо використання, що створює певні труднощі при розподілі пакетів у дистрибутивах.
Зокрема умови використання Торгова марка Mozilla вони забороняють зберігати назву проекту у разі змін або латок.
Дистрибутиви можуть перерозподіляти пакет із назвою Rust and Cargo лише в тому випадку, якщо він складений з оригінальних джерел; в іншому випадку необхідний попередній письмовий дозвіл команди Rust Core або зміна імені.
Ця функція заважає швидкому незалежному усуненню помилок та уразливостей у пакетах з Rust і Cargo без узгодження змін із випускними потоками.
Пам'ятайте про це Спочатку Руст розроблявся як проект з підрозділу Mozilla Research, який у 2015 році був перетворений на автономний проект із незалежним керівництвом від Mozilla.
Хоча Руст з тих пір розвивався автономно, Mozilla надавала фінансову та юридичну підтримку. Тепер ця діяльність перейде до нової організації, створеної спеціально для курації Руста.
Цю організацію можна розглядати як нейтральний сайт, який не є Mozilla, що полегшує залучення нових компаній для підтримки Руста та підвищення життєздатності проекту.
Нова програма винагород
Ще одне оголошення що випустила Mozilla полягає в тому, що він розширює свою ініціативу щодо виплати грошових винагород за виявлення проблем безпеки у Firefox.
На додаток до самих уразливостей, програма Bug Bounty зараз теж розглянемо методи обходу механізмів доступні у браузері, що заважають експлойтам працювати.
Ці механізми включають система для очищення фрагментів HTML перед використанням у привілейованому контексті, спільне використання пам'яті для вузлів DOM та рядків / ArrayBuffers, відмова від eval () у системному контексті та в основному процесі, забезпечення жорстких обмежень CSP (Політика безпеки). сторінки служби "about: config", що забороняє завантажувати сторінки, крім "chrome: //", "resource: //" та "about:" в основному процесі, забороняє виконання коду Зовнішній JavaScript в основному процесі в обхід привілейованих механізмів спільного використання (використовуваних для створення інтерфейсу браузера) та непривілейованого коду JavaScript.
Забутий чек на eval () у потоках Web Worker подано як приклад помилки, яка відповідає виплаті нової винагороди.
Якщо виявлена вразливість а механізми захисту опущені проти подвигів, слідчий може отримати додатково 50% базової винагороди присуджується за виявлену вразливість (наприклад, за вразливість UXSS, яка обходить механізм HTML Sanitizer, можна буде отримати 7,000 доларів США плюс 3,500 доларів США).
Зокрема розширення програми винагород для незалежних дослідників відбувається в контексті нещодавнього звільнення 250 працівників від Mozilla, до складу якої входила вся Група з управління загрозами, відповідальна за виявлення та аналіз інцидентів, а також частина команди безпеки.
Крім того, повідомляється про зміну правил застосування програми винагорода за вразливі місця, виявлені в нічних збірках.
Слід зазначити, що ці вразливості часто виявляються негайно під час процесу автоматизованих внутрішніх перевірок та нечітких тестів.
Ці звіти про помилки не покращують безпеку Firefox або нечіткі механізми тестування, тому нічні збірки винагороджуватимуться лише за вразливі місця, якщо проблема була присутня в головному сховищі більше 4 днів і не була виявлена внутрішніми оглядами та співробітниками Mozilla.