Quale sarebbe l'approccio ragionevole per proteggere il nuovo progetto di sandboxing dai buchi di sicurezza creati per caso?

0

Come sviluppatore regolare sono curioso di guardare nuovi progetti. Diciamo che oggi voglio contribuire al progetto open source in Python. Questo progetto è su GitHub e io una sorta di fiducia nelle persone dietro questo progetto. L'unica cosa che mi dà fastidio è un errore che potrebbe essere fatto per caso da qualche sviluppatore che potrebbe potenzialmente portare a perdite involontarie di dati dalla macchina locale. Come un errore con i percorsi / copia non intenzionale da qualche posizione casuale / upload / typo non intenzionale nelle dipendenze pip che scarica alcune librerie dannose da pip. Sono un po 'paranoico su queste cose, specialmente quando il progetto è nuovo per me e non conosco ancora la base di codice e la cronologia.

Quale sarebbe il livello ragionevole di protezione lì? Sto pensando di eseguire il progetto da sandbox docker in un utente non root che monta solo l'albero dei sorgenti del progetto come volume. È sufficiente o cosa sarebbe più ragionevole?

    
posta tegoo 19.08.2018 - 12:07
fonte

1 risposta

1

Se stai cercando di eseguire un codice non affidabile sul tuo sistema, allora ha senso (se possibile) di sandbox il codice, che riduce l'impatto di quel codice come dannoso.

Direi che l'esecuzione all'interno di un contenitore Docker come utente non privilegiato è un buon passo. Se tutto ciò che ti preoccupa è una perdita involontaria di informazioni, allora Docker è una scelta ragionevole, poiché fornisce al codice in esecuzione un ambiente isolato, quindi qualsiasi perdita non influirebbe sul sistema sottostante (a meno che tu non abbia mappato quella directory dal sistema operativo host tramite Cambio -v della corsa del Docker)

    
risposta data 19.08.2018 - 14:59
fonte

Leggi altre domande sui tag