オープンソースの Sandboxed API(SAPI)プロジェクトは、Google の Sandbox2 オープンソース プロジェクトをベースに構築されており、C/C++ ライブラリのサンドボックス化の負担を軽減することを目的としています。
サンドボックス化された API には、主に次の 3 つのメリットがあります。
Sandbox2 では、プログラム全体をサンドボックス化したり、ソースコードを変更してプログラムの一部をサンドボックス化したりするのではなく、SAPI を使用して個々の C/C++ ライブラリをサンドボックス化できます。その結果、SAPI により、メイン プログラムは C/C++ ライブラリのコード実行の脆弱性から分離されます。
Google のモットーは「一度サンドボックスしたら、どこでも使える」です。サンドボックス化された API でサンドボックス化されたライブラリは簡単に再利用でき、将来のプロジェクトの負担を軽減します。サンドボックス化された API を導入する前は、Google で使用できるサンドボックスは、サンドボックス化が予定されていたプロジェクトの新しいインスタンスごとに追加の実装作業が必要でした。同じソフトウェア ライブラリを再利用していた場合も同様です。サンドボックス化されたプロセスに適用される Sandbox2 ポリシーやその他の制限は毎回再実装する必要がありました。また、コードの信頼できる部分と信頼できない部分との間のデータ交換メカニズムをゼロから設計する必要がありました。
セキュリティ ポリシーは、利用するすべてのライブラリのシステムコール/リソース フットプリント全体をカバーする必要がある一般的なサンドボックス プロジェクトとは異なり、各 SAPI ライブラリは厳密に定義されたセキュリティ ポリシーを使用します。
SAPI プロジェクトは、Google サンドボックス チームのメンバーによって設計、開発、保守されています。また、実証済みの Sandbox2 も使用しています。現在、多くの内部プロジェクトで、SAPI を使用して本番環境ワークロードを分離しています。
クイック スタート
Sandboxed API の使用を開始する手順は次のとおりです。
- 必要な依存関係をインストールします(Debian 10 Buster を実行していることを前提としています)。
$ echo "deb http://storage.googleapis.com/bazel-apt stable jdk1.8" |
sudo tee /etc/apt/sources.list.d/bazel.list $ wget -qO - https://bazel.build/bazel-release.pub.gpg | sudo apt-key add - $ sudo apt-get update $ sudo apt-get install -qy build-essential linux-libc-dev bazel python3
python3-pip libclang-7-dev $ pip3 install clang - ビルドのクローンを作成して実行します。
$ git clone https://github.com/google/sandboxed-api && cd sandboxed-api $ bazel build …
- 次の例のいずれかを試してみましょう。
$ bazel run //sandboxed_api/examples/stringop:main_stringop
利用可能なドキュメント
サンドボックス化された API について詳しくは、こちらをご覧ください:
サンドボックス化された API の説明 - サンドボックス化された API(SAPI)とその基本コンセプトについて説明します。
スタートガイド — 独自の SAPI サンドボックス化された API を作成するためのガイダンスが記載されています。
ビルドルール - sapi_library() ビルドルールを使用して SAPI ライブラリをビルドする方法について説明します。
変数 - 単純な型やメモリブロックにポインタを渡す際に必要となる SAPI 型の使用について説明しています。
トランザクション - SAPI トランザクション モジュールを使用して関数の呼び出しをモニタリングする方法について説明します。
用語集
| Sandbox2 | SAPI でサンドボックス レイヤを提供する Google オープンソース プロジェクト。 |
| サンドボックス担当 | Sandbox2 サンドボックスで実行されるバイナリ。Sandbox2 のドキュメントをご覧ください。 SAPI のコンテキストでは、これはサンドボックス化された C/C++ ライブラリです。 |
| SAPI | サンドボックス化された API。サンドボックス化されたライブラリをビルドする機能を提供する Google オープンソース プロジェクト。 |
| SAPI ライブラリ | SAPI によって生成されるライブラリ。サンドボックス化されたライブラリ、Sandbox2 コード、SAPI ランタイム コードが含まれます。 |
| SAPI オブジェクト | ホストコードに含まれる C++ オブジェクト。元の型ではなく、SAPI 型を使用してサンドボックス ライブラリへのインターフェースを提供します。 |
| SAPI タイプ | SAPI は、単純な型やメモリブロックにポインタを渡す際に必要となる特殊な型を提供します。 |
| SAPI トランザクション | 実行と実行の間にサンドボックス化されたライブラリのサンドボックス ステータスを管理するために使用されるモジュール。 |
| RPC スタブ | Sandbox2 でラップされ、SAPI オブジェクトとサンドボックス化されたライブラリの間でデータの受け渡しに使用されるリモート プロシージャ コール(RPC)通信のスタブ。 |
| ホストコード | サンドボックス化されたライブラリを使用し、SAPI オブジェクトを含むコード。 |
サンドボックス化された API への貢献
ご協力いただける場合は、CONTRIBUTING.md をご覧いただき、pull リクエストを送信してください。また、バグを報告したり、機能リクエストを送信したりすることもできます。
デベロッパーと話をしたい場合や、プロダクトのメジャー アップデートの通知を受け取ったりしたい場合は、Google グループ sandboxed-api-users にご参加いただくことをおすすめします。