Rust Core团队和Mozilla已宣布 您打算创建 Rust Foundation,一个独立的非营利组织 到年底, 与Rust项目相关的知识产权将被转让,包括与Rust,Cargo和crates.io相关的商标和域名。
该组织 还将负责组织该项目的融资。 Rust和Cargo是Mozilla在转移到新组织之前拥有的商标,并且受到相当严格的使用限制,这给分发包中的软件包分发带来了一些困难。
特别是, 使用条款 Mozilla商标 如果更改或打补丁,它们禁止保留项目名称。
仅当从原始来源编译时,发行版才能重新分发名为Rust和Cargo的软件包。 否则,需要事先获得Rust Core团队的书面许可或更改名称。
此功能会干扰快速独立删除Rust和Cargo软件包中的错误和漏洞,而无需协调上游的更改。
回想一下, Rust最初是作为项目开发的 来自Mozilla研究部,在2015年转变为一个独立项目,由Mozilla进行独立管理。
尽管从那时起Rust一直在自主发展,但Mozilla提供了财务和法律支持。 这些活动现在将转移到专门为Rust的策划创建的新组织中。
该组织可以被视为非Mozilla的中立站点,从而可以更轻松地吸引新公司来支持Rust,并提高项目的可行性。
新的奖励计划
另一个广告 Mozilla发布了什么 其正在扩展其主动行动,以支付现金奖励以识别Firefox中的安全问题。
除了漏洞本身之外, Bug赏金计划 现在也是 将涵盖规避机制的方法 在浏览器中可用,以阻止漏洞利用。
这些机制包括 一个用于在特权上下文中使用之前清理HTML片段,共享DOM节点和Strings / ArrayBuffers的内存,在系统上下文和主要过程中不使用eval()的系统,从而强制执行严格的CSP(安全策略)限制。服务页面“ about:config”禁止在主流程中加载“ chrome://”,“ resource://”和“ about:”以外的页面,并禁止在主流程中执行代码外部JavaScript,绕过特权共享机制(用于创建浏览器界面)和非特权JavaScript代码。
给出了Web Worker线程中对eval()的遗忘检查,作为有资格获得新奖励的错误的示例。
如果发现漏洞 并省略了保护机制 反对剥削, 研究者可能会获得基本奖励的额外50% 授予已确定的漏洞(例如,对于绕过HTML Sanitizer机制的UXSS漏洞,将有可能获得7,000美元和3,500美元的权利金)。
特别是, 奖励计划的扩展 给独立研究者 发生在最近解雇了250名员工的背景下 来自Mozilla,包括负责检测和分析事件的整个威胁管理团队以及安全团队的一部分。
另外, 报告应用该程序的规则发生了变化 奖励夜间构建中发现的漏洞。
应当指出,这些漏洞通常是在自动内部检查和模糊测试过程中立即发现的。
这些错误报告不会改善Firefox的安全性或模糊测试机制,因此,只有在主存储库中存在此问题的时间超过4天且内部审查和Mozilla员工未发现该问题时,才会对夜间生成的漏洞进行奖励。