Mozilla dio a conocer la Rust Foundation y un nuevo programa de recompensas
El equipo Rust Core y Mozilla han anunciado su intención de crear la Fundación Rust, una organización independiente sin fines de lucro para fin de año, a la que se transferirá la propiedad intelectual asociada con el proyecto Rust, incluidas las marcas comerciales y los nombres de dominio asociados con Rust, Cargo y crates.io.
La organización también será responsable de organizar el financiamiento del proyecto. Rust y Cargo son marcas comerciales propiedad de Mozilla antes de la transferencia a la nueva organización y están sujetas a restricciones de uso bastante estrictas, lo que crea ciertas dificultades con la distribución de paquetes en distribuciones.
En particular, los términos de uso de la marca registrada de Mozilla prohíben la retención del nombre del proyecto en caso de cambios o parches.
Las distribuciones pueden redistribuir un paquete con el nombre Rust and Cargo solo si se compila a partir de las fuentes originales; de lo contrario, se requiere un permiso previo por escrito del equipo Rust Core o un cambio de nombre.
Esta característica interfiere con la rápida eliminación independiente de errores y vulnerabilidades en paquetes con Rust y Cargo sin coordinar los cambios con upstream.
Recordemos que Rust se desarrolló originalmente como un proyecto de la división Mozilla Research, que en 2015 se transformó en un proyecto autónomo con una gestión independiente de Mozilla.
Aunque Rust ha evolucionado de forma autónoma desde entonces, Mozilla ha proporcionado apoyo financiero y legal. Estas actividades ahora se transferirán a una nueva organización creada específicamente para la curaduría de Rust.
Esta organización puede verse como un sitio neutral que no pertenece a Mozilla, lo que facilita la atracción de nuevas empresas para respaldar a Rust y aumentar la viabilidad del proyecto.
Nuevo programa de recompensas
Otro de los anuncios que dio a conocer Mozilla es que está ampliando su iniciativa para pagar recompensas en efectivo por identificar problemas de seguridad en Firefox.
Además de las vulnerabilidades en sí, el programa Bug Bounty ahora también cubrirá métodos para eludir los mecanismos disponibles en el navegador que evitan que los exploits funcionen.
Dichos mecanismos incluyen un sistema para limpiar fragmentos HTML antes de ser utilizados en un contexto privilegiado, compartir memoria para nodos DOM y cadenas/ArrayBuffers, desautorizar eval() en el contexto del sistema y en el proceso principal, aplicar restricciones estrictas de CSP (Política de seguridad de contenido) a las páginas de servicio «about:config», que prohíbe la carga de páginas que no sean» chrome://»,» resource:// «y» about:» en el proceso principal, prohíbe la ejecución de código JavaScript externo en el proceso principal, sin pasar por los mecanismos de uso compartido con privilegios (utilizados para crear la interfaz navegador) y código JavaScript sin privilegios.
Un check olvidado para eval() en los hilos de Web Worker se da como ejemplo de un error que califica para el pago de una nueva recompensa.
Si se identifica una vulnerabilidad y se omiten los mecanismos de protección contra exploits, el investigador podrá recibir un 50% adicional de la recompensa base otorgada por la vulnerabilidad identificada (por ejemplo, para una vulnerabilidad UXSS que elude el mecanismo HTML Sanitizer, será posible recibir $ 7,000 más una prima de $ 3,500).
En particular, la expansión del programa de recompensas para investigadores independientes se produce en el contexto del reciente despido de 250 empleados de Mozilla, que incluía a todo el Equipo de gestión de amenazas responsable de detectar y analizar incidentes, así como parte del equipo de seguridad.
Además, se informa un cambio en las reglas para aplicar el programa de recompensas a las vulnerabilidades identificadas en las compilaciones nightly.
Cabe señalar que estas vulnerabilidades a menudo se descubren inmediatamente durante el proceso de comprobaciones internas automatizadas y pruebas de fuzzing.
Estos informes de errores no mejoran la seguridad de Firefox ni los mecanismos de prueba de fuzzing, por lo que las compilaciones nightly solo serán recompensadas por vulnerabilidades si el problema ha estado presente en el repositorio principal durante más de 4 días y no ha sido identificado por revisiones internas y empleados de Mozilla.