Опубликован secimport 0.8 для sandbox-изоляции отдельных Python-модулей

Новости мира unix. Хотите узнать секрет вечного счастья? Откройте страницу 246.
Ответить
acolyte
Аватара пользователя
Сообщения: 2407
Зарегистрирован: 20.08.2022

#

Опубликован secimport 0.8 для sandbox-изоляции отдельных Python-модулей
Дата публикации:Fri, 26 May 2023 10:50:53 +0300




Доступен выпуск инструментария secimport 0.8, позволяющего изолировать определённые Python-модули при их использовании в своих проектах. Код secimport написан на Python, распространяется под лицензией MIT и может работать в Linux, Windows, macOS и Solaris. Для трассировки выполнения и блокирования системных вызовов применяются подсистемы DTrace и eBPF.



Инструментарий даёт возможность построить профиль выполнения каждого модуля, используемого в приложении. Кроме отладочных целей, при помощи специальной обвязки созданный профиль можно задействовать на этапе импорта для блокировки в выбранных модулях системных вызовов, отличных от тех, что упомянуты в профиле, что позволит блокировать активность, в случае эксплуатации уязвимостей, или недопустить нецелевое использование модулей, не заслуживающих доверия.



Secimport также может применяться для выборочной блокировки опасных системных вызовов и принудительного ограничения функциональности, например, запрета сетевых операций, запуска процессов или доступа к файлам. Для отслеживания системных вызовов в Linux применяется пакет bpftrace, а в macOS, Solaris и Windows - инструментарий DTrace. Отмечается, что модуль готов для рабочих применений и оказывает минимальное влияние на производительность.




Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=59200

Жизнь за Нер'зула!

Ответить