Mã hộp cát không đáng tin cậy sẽ hữu ích khi bạn dựa vào phần mềm do bên thứ ba phát triển, nơi bạn không có quyền truy cập vào mã nguồn hoặc không có tài nguyên để đánh giá mã nguồn. Hộp cát cũng có thể hữu ích như một ranh giới bảo mật bổ sung cho mã của riêng bạn.
Tuỳ thuộc vào trường hợp sử dụng của bạn, có các công cụ khác nhau được cung cấp để chứa mã. Bảng dưới đây cung cấp thông tin tổng quan về các sản phẩm khác nhau và trường hợp sử dụng tương ứng. Một số sản phẩm trong số này được sử dụng trong Google và do các kỹ sư của Google phát triển.
Sandbox2 và API Sandbox2 là hai sản phẩm được phát triển bởi bộ phận hộp cát của nhóm bảo mật của Google.
| Sản phẩm | Mô tả | Trường hợp sử dụng |
|---|---|---|
| Hộp cát 2 | Hộp cát Linux sử dụng không gian tên, giới hạn tài nguyên và bộ lọc syscall seccomp-bpf. Cung cấp công nghệ hộp cát cơ bản cho API Hộp cát. | Hộp cát nói chung |
| gVisor | Triển khai các lệnh gọi hệ thống trong một hạt nhân ứng dụng. Chặn các lệnh gọi hệ thống bằng cách sử dụng ptrace hoặc ảo hoá phần cứng. | Hộp cát nói chung |
| Bọc bong bóng trò chuyện | Công cụ hộp cát được triển khai bằng một không gian tên người dùng. Được dùng làm công cụ thực thi, ví dụ như Flatpak. | Công cụ CLI |
| Nhà tù | Công cụ hộp cát và vùng chứa được sử dụng trong ChromeOS và Android. Cung cấp một tệp thực thi và một thư viện có thể dùng để chạy và chạy các hộp cát cũng như các chương trình khác trong hộp cát. | Công cụ CLI |
| NSJail | Xử lý sự tách biệt đối với Linux bằng cách sử dụng không gian tên, giới hạn tài nguyên và bộ lọc syscall của seccomp-bpf. Bạn có thể tuỳ ý sử dụng Kafel, một ngôn ngữ tuỳ chỉnh dành riêng cho miền, để chỉ định các chính sách syscall. | Công cụ CLI |
| API Hộp cát | Hộp cát có thể sử dụng lại cho thư viện C/C++ bằng Sandbox2. | Mã C/C++ |
| Ứng dụng gốc | Không dùng nữa
Kỹ thuật mạnh mẽ để lưu trữ các tệp nhị phân C/C++ vào hộp cát bằng cách biên dịch thành một tập hợp con bị hạn chế gồm mã byte x86 (TAM)/LLVM (PDNS). Ảnh hưởng của thiết kế của phiên bản kế thừa (WebAssembly) và phần lớn được thay thế bằng thiết kế. |
Mã C/C++ |
| WebAssembly (WASM) | Một định dạng nhị phân cho các tệp nhị phân di động. Các mô-đun WASM được thực thi trong môi trường thời gian chạy riêng biệt. | Mã C/C++ |
| RLBox | API hộp cát (viết bằng C++17), có thể sử dụng nhiều phần phụ trợ thực thi: Ứng dụng gốc, WebAssembly hoặc các quy trình từ xa. | Mã C/C++ |
| Mặt nạ phẳng | Dựa trên Bubblewrap, cung cấp hộp cát cho các ứng dụng Linux dành cho máy tính. Tập trung vào việc đóng gói và phân phối ứng dụng gốc. | Ứng dụng trên máy tính |
Hộp cát 2
Hộp cát 2 là hộp cát bảo mật C++ nguồn mở dành cho Linux. Với Sandbox2, bạn có thể giới hạn môi trường thời gian chạy ở mức tối thiểu cần thiết cho các hoạt động chính hãng, do đó hạn chế tác động của các lỗ hổng thực thi mã có thể xảy ra.
Hộp cát có thể được sử dụng để tạo toàn bộ hộp cát hoặc toàn bộ các chương trình được viết bằng C/C++.
API Hộp cát
Sandboxed API (SAPI) là một dự án nguồn mở tới các thư viện C/C++ dạng hộp cát. Bạn có thể dễ dàng sử dụng lại các thư viện hộp cát bằng API Hộp cát, nhờ đó giảm gánh nặng cho các dự án trong tương lai. Trước khi hộp cát chạy API, hộp cát có sẵn để sử dụng tại Google yêu cầu thực hiện thêm công việc triển khai với mỗi phiên bản mới của dự án dự định có trong hộp cát, ngay cả khi thực thể này sử dụng lại cùng một thư viện phần mềm. Chính sách Sandbox2 và các hạn chế khác áp dụng cho quy trình hộp cát phải được triển khai lại mỗi lần và cơ chế trao đổi dữ liệu giữa các phần đáng tin cậy và không đáng tin cậy của mã phải được thiết kế từ đầu.