周一,谷歌宣布称将开源 Sandboxed API 以促使软件开发人员更容易地创建安全的产品。
应用程序受内存损坏或其它类型漏洞影响从而导致远程代码执行或其它后果的情况并不少见。使用沙箱能够确保负责处理用户输入的代码智能访问需要访问的资源,从而通过将利用代码限制到受限环境中并阻止它和其它软件组件交互的方法缓解缺陷的影响。
虽然沙箱能够发挥重大作用,但谷歌表示通常实现起来并不容易。这也是谷歌决定开源其 Sandboxed API 的原因,它应当能够更容易地对 C 和 C++ 库进行沙箱操作。谷歌还开源了其核心沙箱项目 Sandbox2,它可用于确保 Linux 处理器的安全。
谷歌 ISE 沙箱团队成员解释称,“Sandboxed API 使得为单个软件库创建安全策略成为可能。这种理念能够创建存在于流行软件库中的可复用且安全的功能实现,而且也具有足够的颗粒度保护余下所使用软件基础设施的安全。”
目前,Sandboxed API 仅支持用 C 语言写成的库以及仅支持 Linux 系统。然而,谷歌计划为更多的编程运行时和更多的操作系统提供支持,可能不久之后会新增 Unix 类的系统,不过谷歌表示将其引进 Windows 更具挑战性。
该 API 的开发人员还计划增加新的沙箱技术,包括硬件可视化并扩展 build 系统。
谷歌还指出,任何人均可提出自己的建议,以更好地改进 Sandboxed API,而它也包含在谷歌的“补丁奖励计划”中。
Sandboxed API和 Sandbox2 源码以及使用指南已经在 GitHub 上发布:
https://github.com/google/sandboxed-api
https://github.com/google/sandboxed-api/tree/master/sandboxed_api/sandbox2
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。