Rust Core團隊和Mozilla已宣布 您打算創建 Rust Foundation,一個獨立的非營利組織 到年底, 與Rust項目相關的知識產權將被轉讓,包括與Rust,Cargo和crates.io相關的商標和域名。
組織 還將負責組織該項目的融資。 Rust和Cargo是Mozilla在轉移到新組織之前擁有的商標,並且受到相當嚴格的使用限制,這給分發包中的軟件包分髮帶來了一些困難。
特別是 使用條款 Mozilla商標 禁止在更改或修補程序時保留項目名稱。
僅當從原始來源編譯時,發行版才能重新分發名為Rust和Cargo的軟件包。 否則,需要事先獲得Rust Core團隊的書面許可或更改名稱。
此功能會干擾快速獨立刪除Rust和Cargo軟件包中的錯誤和漏洞,而無需協調上游的更改。
回想一下, Rust最初是作為項目開發的 來自Mozilla研究部,在2015年轉變為一個獨立項目,由Mozilla進行獨立管理。
儘管從那時起Rust一直在自主發展,但Mozilla提供了財務和法律支持。 這些活動現在將轉移到專門為Rust的策劃創建的新組織中。
該組織可以看作是非Mozilla的中立站點,從而可以更輕鬆地吸引新公司來支持Rust,並提高項目的可行性。
新的獎勵計劃
另一個廣告 Mozilla發布了什麼 其正在擴展其主動行動,以支付現金獎勵以識別Firefox中的安全問題。
除了漏洞本身之外, Bug賞金計劃 現在也是 將涵蓋規避機制的方法 在瀏覽器中可用,以阻止漏洞利用。
這些機制包括 系統先清理HTML片段,然後再在特權上下文中使用HTML,共享DOM節點和Strings / ArrayBuffers的內存,在系統上下文中和主要過程中禁用eval(),並將嚴格的CSP(安全策略)限制內容應用於)服務頁面“ about:config”,禁止在主流程中加載除“ chrome://”,“ resource://”和“ about:”以外的頁面,並禁止在主流程中執行代碼外部JavaScript,繞過特權共享機制(用於創建瀏覽器界面)和非特權JavaScript代碼。
給出了Web Worker線程中對eval()的遺忘檢查,作為有資格獲得新獎勵的錯誤的示例。
如果發現漏洞 並省略了保護機制 反對剝削, 研究人員可能會獲得基本獎勵的額外50% 授予已確定的漏洞(例如,對於繞過HTML Sanitizer機制的UXSS漏洞,將有可能獲得7,000美元和3,500美元的權利金)。
特別是 獎勵計劃的擴展 給獨立研究者 發生在最近解雇了250名員工的背景下 來自Mozilla,其中包括負責檢測和分析事件的整個威脅管理團隊以及安全團隊的一部分。
另外, 報告應用該程序的規則發生了變化 獎勵夜間構建中發現的漏洞。
應當指出,這些漏洞通常是在自動內部檢查和模糊測試過程中立即發現的。
這些錯誤報告不會改善Firefox的安全性或模糊測試機制,因此,只有在主存儲庫中存在此問題的時間超過4天且內部審查和Mozilla員工未發現該問題時,才會對夜間生成的漏洞進行獎勵。