Veronaのプロセスベースのサンドボックス:安全な非信頼コードの実行
2025-02-10
このプロジェクトは、Veronaのプロセスベースのサンドボックス機構の詳細を説明しています。これは、信頼できない外部コードを安全に実行するために設計されています。プロセス分離を活用することで、OSの変更は不要です。信頼できないライブラリは共有メモリ領域で実行され、慎重に設計されたIPCを介して信頼できる親プロセスと通信します。この機構は、コールバックとシステムコールのエミュレーションをサポートし、親プロセスの安全性を確保します。侵害されたとしても、サンドボックスは親プロセスのメモリやシステムリソースにアクセスできません。現在、Capsicumとseccomp-bpfのサンドボックス技術をサポートしており、効率性と互換性の向上を目指しています。
開発
サンドボックス