How easy is it for a developer to "sandbox" a program?
a year ago
- #operating-systems
- #sandboxing
- #security
- 沙盒技术通过源代码内部限制程序对系统资源的访问,例如使用chroot(2)限制文件系统访问。
- 现代操作系统工具允许开发者限制更多资源,包括内存和网络访问,而不仅限于文件系统。
- 本文调查了Linux、OpenBSD、FreeBSD上的沙盒工具,并提及了Mac OS X和Java的相关技术。
- 工具评估基于文档长度和示例使用复杂度,优先选择更简单的工具。
- 以OpenSSH为案例,比较不同沙盒实现的维护情况和随时间的变化。
- OpenBSD的pledge因其易用性和采用率受到关注,而Linux的seccomp则更为复杂。
- FreeBSD的Capsicum在FreeBSD社区内应用广泛,文档简洁明了。
- Mac OS X和Java已弃用其沙盒工具。
- 本文旨在收集开源系统中沙盒使用的数据,并鼓励读者贡献相关信息。
- 致谢部分包括研究人员和贡献者提供的数据和见解。