谷歌开源Sandboxed API,可对单个软件库进行安全保护

最新推荐文章于 2024-08-07 10:35:12 发布
最新推荐文章于 2024-08-07 10:35:12 发布
阅读量168 收藏
点赞数
CC 4.0 BY-SA版权
版权所有©️都是我自己写哒!
本文链接:https://blog.youkuaiyun.com/cpongo1/article/details/89023500
SandboxedAPI是谷歌开源的一个项目,旨在帮助软件开发者为单一库创建安全策略,实现安全的代码隔离。该技术通过创建沙箱来限制代码对敏感资源的访问,有效防止恶意代码对系统的攻击。本文介绍了SandboxedAPI的工作原理、安装步骤及未来的发展方向。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

很多软件项目需要处理外部生成的数据,因此不能被完全信任。 例如,将用户提供的图片文件转换为不同的格式,或者是执行由用户生成的软件代码等。

\n

\"\"

\n

如果软件库对这类数据的解析过程特别复杂的话,它很有可能会成为某些特定安全漏洞的受害者:安全漏洞诸如内存损坏,又或者是跟解析逻辑相关的的问题(路径遍历问题)。这些安全漏洞可能会造成很严重的安全问题。

\n

为了缓解这些问题,开发人员通常使用软件隔离的方法,这种方法又被称作沙箱技术。 通过使用沙盒的方式,开发人员可以限制那些需要解析外部数据的代码,确保它们只能访问特定的文件、网络连接和其他操作系统资源。 这样最坏的情形就是,即使潜在的攻击者获取了这些代码的执行权限,他们也只能访问沙箱范围内的资源,沙箱技术将它们一并隔离了,这有效保护了其余的软件基础设施。

\n

沙箱技术必须对攻击具有高度的防御性,能够充分保护操作系统的其它部分,同时又需要容易使用,从而让软件开发人员快速上手。 对于当前很多流行的软件隔离工具来说,它们要么无法充分隔离操作系统的其余部分,要么需要额外消耗大量时间来为每个项目重新定义安全边界。

\n

实现一次,到处运行

\n

为帮助这个目标的实现,谷歌开源了项目Sandboxed API(沙箱API),该项目已在谷歌内部广泛使用,久经考验。通过Sandboxed API,开发者可以为单个软件库创建安全策略,也就是说我们能够在软件类库内部为功能创建可重用的和安全的实现,而它的隔离粒度又刚好能保护其它被使用的软件基础设施。

\n

Sandboxed API主要用于访问沙箱类库中的某个软件函数,我们还开源了沙箱项目的核心Sandbox2。 Sandox2现在已经是Sandboxed API的一部分,提供了底层沙箱原语。它又被认为是一种底层API,可以单独使用来隔离任意的Linux进程。

\n

实现机制

\n

目前Sandboxed API主要用于C语言编写的软件类库(或提供C绑定),未来可能会实现对更多编程语言的支持。

\n

从全局的角度看,Sandboxed API把沙箱里的库以及库的调用者分离到两个不同的系统进程中:宿主机二进制进程和Sandboxee(沙箱)进程。 宿主机端的API对象重新封装了实际的库调用,并通过进程间通信发送到Sandboxee,然后由Sandboxee中的RPC Stub(存根)对调用重组并把它转发到原始库。

\n

API对象(SAPI对象)和RPC Stub都由项目本身提供,前者由接口生成器自动生成。 用户只需要提供一个沙箱策略,一组允许底层库使用的系统调用,以及允许访问和使用的资源。 一旦这些条件就绪,基于Sandboxed API的库就可以很容易地在其他项目中重用了。

\n

\"\"

\n

SAPI对象的API同原始库的API非常类似。 例如,当使用流行的压缩库zlib时,如下代码片段实现了一个数据块的压缩(为简洁起见,我们在这里忽略了错误处理) :

\n 
void Compress(const std::string\u0026amp; chunk, std::string* out) {\n  z_stream zst{};\n  constexpr char kZlibVersion[] = \u0026quot;1.2.11\u0026quot;;\n  CHECK(deflateInit_(\u0026amp;zst, /*level=*/4, kZlibVersion, sizeof(zst)) == Z_OK);\n\n\n  zst.avail_in = chunk.size();\n  zst.next_in = reinterpret_cast\u0026lt;uint8_t*\u0026gt;(\u0026amp;chunk[0]);\n  zst.avail_out = out-\u0026gt;size();\n  zst.next_out = reinterpret_cast\u0026lt;uint8_t*\u0026gt;(\u0026amp;(*out)[0]);\n  CHECK(deflate(\u0026amp;zst, Z_FINISH) != Z_STREAM_ERROR);\n  out-\u0026gt;resize(zst.avail_out);\n\n\n  deflateEnd(\u0026amp;zst);\n}\n
\n

而如果使用Sandboxed API,代码将会变成:

\n 
void CompressSapi(const std::string\u0026amp; chunk, std::string* out) {\n  sapi::Sandbox sandbox(sapi::zlib::zlib_sapi_embed_create());\n  CHECK(sandbox.Init().ok());\n  sapi::zlib::ZlibApi api(\u0026amp;sandbox);\n\n\n  sapi::v::Array\u0026lt;uint8_t\u0026gt; s_chunk(\u0026amp;chunk[0], chunk.size());\n  sapi::v::Array\u0026lt;uint8_t\u0026gt; s_out(\u0026amp;(*out)[0], out-\u0026gt;size());\n  CHECK(sandbox.Allocate(\u0026amp;s_chunk).ok() \u0026amp;\u0026amp; sandbox.Allocate(\u0026amp;s_out).ok());\n  sapi::v::Struct\u0026lt;sapi::zlib::z_stream\u0026gt; s_zst;\n  \n  constexpr char kZlibVersion[] = \u0026quot;1.2.11\u0026quot;;\n  sapi::v::Array\u0026lt;char\u0026gt; s_version(kZlibVersion, ABSL_ARRAYSIZE(kZlibVersion));\n  CHECK(api.deflateInit_(s_zst.PtrBoth(), /*level=*/4, s_version.PtrBefore(),\n                          sizeof(sapi::zlib::z_stream).ValueOrDie() == Z_OK));\n\n\n  CHECK(sandbox.TransferToSandboxee(\u0026amp;s_chunk).ok());\n  s_zst.mutable_data()-\u0026gt;avail_in = chunk.size();\n  s_zst.mutable_data()-\u0026gt;next_in = reinterpet_cast\u0026lt;uint8_t*\u0026gt;(s_chunk.GetRemote());\n  s_zst.mutable_data()-\u0026gt;avail_out = out-\u0026gt;size();\n  s_zst.mutable_data()-\u0026gt;next_out = reinterpret_cast\u0026lt;uint8_t*\u0026gt;(s_out.GetRemote());\n  CHECK(api.deflate(s_zst.PtrBoth(), Z_FINISH).ValueOrDie() != Z_STREAM_ERROR);\n  CHECK(sandbox.TransferFromSandboxee(\u0026amp;s_out).ok());\n  out-\u0026gt;resize(s_zst.data().avail_out);\n\n\n  CHECK(api.deflateEnd(s_zst.PtrBoth()).ok());\n}\n
\n

通过对比我们可以发现,在使用Sandboxed API时,需要额外的代码来设置沙箱本身以及将内存传入或传出到Sandboxee,但除此之外,代码流保持不变。

\n

安装测试

\n

我们只需要几分钟时间就可以启动并运行Sandboxed API。假设已经安装了Bazel:

\n 
sudo apt-get install python-typing python-clang-7 libclang-7-dev linux-libc-dev\ngit clone github.com/google/sandboxed-api \u0026amp;\u0026amp; cd sandboxed-api\nbazel test //sandboxed_api/examples/stringop:main_stringop\n
\n

上述操作会自动安装必要的依赖项,并运行测试项目。 更详细内容可查阅入门指南,尤其是关于Sandboxed API的使用示例

\n

未来计划

\n

Sandboxed API以及Sandbox2已经被谷歌内部的很多团队所使用。虽然这个项目已经很成熟,但开发团队对其未来发展仍然充满期待,而不仅仅限于维护:

\n
  • \n
  • 支持更多的操作系统—目前为止,只支持 Linux。 开发团队将研究如何把Sandboxed API引入到类Unix系统,如BSD(FreeBSD、OpenBSD),macOS以及Windows系统。移植到Windows系统是一项更复杂的任务,需要更多的基础工作。\n
  • 新的沙盒技术—随着硬件虚拟化技术的普及,通过沙盒将代码限制在虚拟机中变成了可能。\n
  • 系统构建—我们目前使用Bazel构建项目,包括处理依赖项。 但这并不是每个人都想要的方式,对CMake编译的支持是我们的首要任务。\n
  • 推广—用Sandboxed API来保护开源项目,该项目属于补丁奖励计划,参与者将有机会获得开发奖励。\n
\n

参与进来

\n

除了对Sandboxed API和Sandbox2的优化,该项目开发团队一直致力于增加更多的功能:支持更多的编程运行时、不同的操作系统以及可替代的容器技术。

\n

源码码请查看Sandboxed API GitHub仓库。欢迎大家积极参与,贡献代码或任何关于项目改进和扩展的建议。

\n
网络大厂应用Sandboxed API使C/C++函式库产生沙盒
SBFPLAY直播记录馆
03-20 838
网络大厂对外开源Sandboxed API项目,Sandboxed API能够自动为C/C++函式库产生沙盒,在热门软件函式库产生可重用且安全的功能实作,以保护剩余软件基础设施。网络大厂还创建核心沙盒子项目Sandbox2,提供低阶沙盒原语,可以单独使用于隔离任意Linux程序。由于许多软件处理外部产生的数据,像是将用户的图片转文件,或甚至执行使用者产生的程序代码,过程通常存在不少的风险,而且 ...
sandboxed-api:自动为CC ++库生成沙箱
02-06
沙盒API项目( SAPI )减轻了C / C ++库的沙盒负担:在安全策略的初始设置和库接口的生成之后,将生成存根API,使用自定义RPC层将调用透明地转发到运行在A / C ++库中的真实库。沙盒环境。 此外,与典型的沙盒项目...
使用Google Sandboxed-api
qq_30262407的博客
06-10 576
Sandboxed-api是google推出的开源沙箱SandBox2的封装,能共更为方便的实现沙箱的安全操作Github仓库链接如下 sandboxed-apiGoogle官方给出的需求如下首先安装gcc,g++,cmake,make等编译工具链,以及git仓库管理工具 执行命令,克隆sandboxed-api仓库 Example编译&使用 Clone下来的项目自带了一些example,我们可以先从这些demo入手,看是如何使用的 输出如下的结果,环境搭建就算成功了 整体项目编译&测试 测试
探索Sandboxed API:简化C/C++库沙箱化的利器
gitblog_00066的博客
03-18 429
探索Sandboxed API:简化C/C++库沙箱化的利器 项目介绍 Sandboxed API(简称SAPI)是由Google开发的一个开源项目,旨在简化C/C++库的沙箱化过程。沙箱化是一种安全机制,通过将应用程序或库隔离在一个受限的环境中,以防止其对系统造成潜在的危害。SAPI通过自动生成库接口和RPC层,使得开发者在沙箱化过程中无需手动处理复杂的系统调用和资源管理,从而大大减轻了开发负担...
c#毕业设计源码下载-sandboxed-api:自动为C/C++库生成沙箱
05-19
++库的沙盒负担:在安全策略的初始设置和库接口的生成之后,将生成存根API,使用自定义RPC层将调用透明地转发到运行在库中的真实库。沙盒环境。 此外,与典型的沙盒项目不同,每个SAPI库都使用严格定义的安全策略,...
sandboxed:Android应用程序可在本地或远程对设备进行指纹识别
05-12
Android应用程序可对环境进行指纹识别。 该项目是对最近对环境敏感的Android应用程序检查它们是否在模拟器或设备中运行的回应。 如果恶意软件将其运行环境检测为模拟器,则很有可能在沙箱中对其进行分析。 此应用...
Sandboxed-API:C/C++库的自动化沙盒生成工具
资源摘要信息: "Sandboxed-Api是一个自动为C/C++库生成沙盒环境的API。该项目旨在减少在沙盒中部署C/C++库时所面临的复杂性和工作量。Sand boxed-Api背后的关键思想是在一个安全策略的初步配置和库接口的生成后,...
Sandboxed API 项目教程
最新发布
gitblog_00987的博客
08-07 690
Sandboxed API 项目教程 sandboxed-apiGenerate sandboxes for C/C++ libraries automatically项目地址:https://gitcode.com/gh_mirrors/sa/sandboxed-api 项目介绍 Sandboxed API(SAPI)是一个开源项目,旨在简化C/C++库的沙箱化过程。该项目基于Google的S...
firejail:Linux 命名空间沙箱程序-开源
06-04
Firejail 是一个 SUID 程序,它通过使用 Linux 命名空间和 seccomp-bpf 限制不受信任的应用程序的运行环境来降低安全漏洞的风险。 它允许进程及其所有后代拥有自己的全局共享内核资源的私有视图,例如网络堆栈、进程表、挂载表。 该软件是用 C 语言编写的,几乎没有依赖关系,可以在任何具有 3.x 内核版本或更新版本的 Linux 计算机上运行。 沙箱是轻量级的,开销很低。 无需编辑复杂的配置文件,无需打开套接字连接,无需后台运行的守护进程。 所有安全功能都直接在 Linux 内核中实现,并可在任何 Linux 计算机上使用。 Firejail 可以沙箱处理任何类型的进程:服务器、图形应用程序,甚至用户登录会话。 该软件包括大量 Linux 程序的安全配置文件:Mozilla Firefox、Chromium、VLC、Transmission 等。
sandboxed-containers-operator:一个运营商,用于增强OpenshiftKubernetes集群以支持运行中的沙盒容器
03-09
:information: 如果您使用的是OCP 4.7,请遵循此 :information: 如果您使用的是OCP 4.6,请遵循此 OpenShift沙盒容器操作员 在Openshift以及Kubernetes集群上执行生命周期管理(安装/升级/卸载)的操作员。 使用OpenShift沙盒容器操作器在集群上安装Kata Runtime 开班 与git repo结帐 确保已将oc配置为与集群通信 克隆沙盒容器操作员存储库,并检出与Openshift版本匹配的分支。 例如,如果您正在运行Openshift 4.7, git clone https://github.com/openshift/sandboxed-containers-operator git checkout -b master --track origin/master 在集群上安装沙盒容器运算符, make install && make deploy
一款轻量级的沙箱一个好用的沙盘
05-31
沙箱又名沙盘,是一个虚拟系统程序。它可以开辟一个虚拟空间去运行诸多应用和软件。比如浏览器等。当需要测试某些可疑软件时,可以有效隔离真实的操作系统不受侵染,就仿佛在当前系统中构建了一个封闭的箱子,阻断箱内的危险。注意:它与虚拟机不同。
Sandboxed API 项目使用教程
gitblog_00855的博客
08-07 318
Sandboxed API 项目使用教程 1. 项目的目录结构及介绍 Sandboxed API 项目的目录结构如下: sandboxed-api/ ├── examples/ │ ├── stringop/ │ └── ... ├── sandbox2/ │ ├── tools/ │ └── ... ├── sapi/ │ ├── util/ │ └── ... ├── ...
API转载 沙盘命令行API
a486259的博客
06-24 1334
由于沙盘官网删除了CMD命令api,故复制原文转载 中文版地址:https://shipengliang.com/software-exp/%E6%B2%99%E7%9B%98sandboxie%E5%91%BD%E4%BB%A4%E8%A1%8C%EF%BC%88windows%EF%BC%89%E4%B8%AD%E6%96%87%E8%AF%A6%E8%A7%A3.html Start Command Line The Sandboxie Start program can do any of t
深入探索Sandboxed API:Google的安全计算新境界
gitblog_00067的博客
03-25 419
深入探索Sandboxed API:Google的安全计算新境界 sandboxed-apiGenerate sandboxes for C/C++ libraries automatically项目地址:https://gitcode.com/gh_mirrors/sa/sandboxed-api 项目简介 是Google开源的一个项目,它提供了一种安全、高效的机制,允许在隔离的环境中执行敏感...
Linux沙箱技术
summer_fish的专栏
12-01 2082
在Linux系统中,由于其开放源代码和广泛应用的特点,安全性成为了一个关键问题。为了确保系统的安全性,研究者们提出了许多解决方案,其中之一就是进程沙箱隔离。进程沙箱隔离是一种将应用程序与底层操作系统隔离开来的技术。通过将应用程序运行在一个受限的环境中,可以有效地防止恶意软件或有害程序对系统的攻击和破坏。进程沙箱隔离主要依靠操作系统的安全机制来实现。在Linux系统中,可以利用命名空间(namespace)和 控制组(cgroup)等功能来构建进程沙箱。
2023年云原生领域重点关注的几个Sandbox项目
ffella的博客
12-13 350
云原生计算基金会(CNCF)成立于2015年,旨在传播和推广云原生基金会的开放标准和项目。CNCF在市场上享有全球认可,并在定义和完善云计算的未来方面发挥着至关重要的作用。
软件沙箱技术 – 安全分析沙箱Cuckoo Sandbox
热门推荐
abcd1f2的专栏
01-15 1万+
1.Cockoo的功能 Cockoo Sandbox是开源安全沙箱,基于GPLv3。目的是恶意软件(malware analysis)分析。使用的时候将待分析文件丢到沙箱内,分析结束后输出报告。很多安全设备提供商所谓云沙箱是同类技术,一些所谓Anti-APT产品也是这个概念。和传统AV软件的静态分析相比,Cuckoo动态检测。扔到沙箱的可执行文件会被执行,文档会被打开,运行中检测。和不少开源
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

flybirding10011

谢谢支持啊999

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值