Доступен выпуск инструментария secimport 0.8, позволяющего изолировать определённые Python-модули при их использовании в своих проектах. Код secimport написан на Python, распространяется под лицензией MIT и может работать в Linux, Windows, macOS и Solaris. Для трассировки выполнения и блокирования системных вызовов применяются подсистемы DTrace и eBPF.
Инструментарий даёт возможность построить профиль выполнения каждого модуля, используемого в приложении. Кроме отладочных целей, при помощи специальной обвязки созданный профиль можно задействовать на этапе импорта для блокировки в выбранных модулях системных вызовов, отличных от тех, что упомянуты в профиле, что позволит блокировать активность, в случае эксплуатации уязвимостей, или не допустить нецелевое использование модулей, не заслуживающих доверия.
Secimport также может применяться для выборочной блокировки опасных системных вызовов и принудительного ограничения функциональности, например, запрета сетевых операций, запуска процессов или доступа к файлам. Для отслеживания системных вызовов в Linux применяется пакет bpftrace, а в macOS, Solaris и Windows - инструментарий DTrace. Отмечается, что модуль готов для рабочих применений и оказывает минимальное влияние на производительность.
Источник: https://www.opennet.ru/opennews/art.shtml?num=59200
(opennet.ru, мини-новости)
[ON] Опубликован secimport 0.8 для sandbox-изоляции отдельных Python-модулей
Модератор: Модераторы разделов
[ON] Опубликован secimport 0.8 для sandbox-изоляции отдельных Python-модулей
Последний раз редактировалось rssbot 26.05.2023 22:07, всего редактировалось 1 раз.
Причина: Updated upstream
Причина: Updated upstream