Desidero iniziare a consentire alle persone di creare app Electron sull'infrastruttura cloud.
Su Linux la sicurezza che sto impiegando è con contenitori Docker usa e getta. So che non è sicuro al 100% ma è meglio che eseguirli nella cartella da qualche parte.
Ora, sto offrendo l'opportunità di costruire su un Mac. Deve essere all'interno del sistema operativo poiché la build si basa sul pacchetto hdiutil .
Il problema è che, su Mac, non so come bloccare un utente in una cartella con praticamente nessuna autorizzazione tranne che per eseguire il programma di installazione. L'ambiente dovrebbe anche essere pulito tra ogni build.
Come faccio ad eseguire un comando con un utente non privilegiato, assicurandomi che lo script non possa uscire dalla cartella in questione? Ho esaminato le radici incarcerate, ma mi sono chiesto se fosse il modo più appropriato per farlo.
Ho anche esaminato la virtualizzazione, ma inizialmente avrò un solo server Linux virtualizzato per farlo - poiché anche le istanze OSX virtualizzate potrebbero non essere possibili nella prima istanza. Non sono nemmeno sicuro se sia legale virtualizzare OSX per un servizio?
Ho visto anche un metodo descritto qui:
Questa è una buona idea?
Solo un colpo di testa, il comando build è in realtà un "bin" Node.js, eseguito in questo modo:
$(pwd)/node_modules/.bin/build -m