信頼できないコードをサンドボックス化することは、ソースコードにアクセスできないサードパーティ開発ソフトウェアに依存する必要がある場合や、ソースコード評価を実行するためのリソースがない場合に役立ちます。サンドボックス化は、独自のコードの追加のセキュリティ境界としても役立ちます。
Sandbox2 は、Google のセキュリティ エンジニアが作成した Linux 用のオープンソースの C++ セキュリティ サンドボックスです。Sandbox2 を使用すると、ランタイム環境を正規のオペレーションに必要な最小限の範囲に制限できるため、コード実行の潜在的な脆弱性の影響を最小限に抑えることができます。
Sandbox2 を使用すると、プログラム全体または C/C++ で記述されたプログラムの一部をサンドボックス化できます。
利用可能なドキュメント
Sandbox2 Explained - Sandbox2 の基盤となるテクノロジーとアーキテクチャについて説明します。
スタートガイド - 独自の Sandbox2 サンドボックスを実装するために役立つガイダンスが記載されています。
例 - さまざまなシナリオで Sandbox2 を使用する方法と、ポリシーを作成する方法を示す例を示します。
よくある質問 - Sandbox2 に関して頻繁に発生するクエリに対処しています。
サンドボックス 2 を入手する
Sandbox2 は、Sandboxed API(SAPI)の一部です。ソースコードは https://github.com/google/sandboxed-api/tree/main/sandboxed_api/sandbox2 からダウンロードできます。