Опубликован secimport 0.8 для sandbox-изоляции отдельных Python-модулей

Доступен выпуск инструментария secimport 0.8, позволяющего изолировать определённые Python-модули при их использовании в своих проектах. Код secimport написан на Python, распространяется под лицензией MIT и может работать в Linux, Windows, macOS и Solaris. Для трассировки выполнения и блокирования системных вызовов применяются подсистемы DTrace и eBPF.

Инструментарий даёт возможность построить профиль выполнения каждого модуля, используемого в приложении. Кроме отладочных целей, при помощи специальной обвязки созданный профиль можно задействовать на этапе импорта для блокировки в выбранных модулях системных вызовов, отличных от тех, что упомянуты в профиле, что позволит блокировать активность, в случае эксплуатации уязвимостей, или недопустить нецелевое использование модулей, не заслуживающих доверия.

Secimport также может применяться для выборочной блокировки опасных системных вызовов и принудительного ограничения функциональности, например, запрета сетевых операций, запуска процессов или доступа к файлам. Для отслеживания системных вызовов в Linux применяется пакет bpftrace, а в macOS, Solaris и Windows — инструментарий DTrace. Отмечается, что модуль готов для рабочих применений и оказывает минимальное влияние на производительность.

Источник: http://www.opennet.ru/opennews/art.shtml?num=59200