Google heeft vandaag een project voor het sandboxen van C en C++ libraries die draaien op Linux-systemen open-source gemaakt. Dat project gaat onder de naam Sandboxed API door het leven en is een tool die Google al jarenlang intern in zijn datacenters gebruikt heeft.
De Sandboxed API is vanaf nu beschikbaar op GitHub. Daar is ook alle documentatie te vinden die nodig is voor programmeurs om hun C en C++ libraries in de sandbox te plaatsen en ze te beschermen tegen malware. Als een app of code in een sandbox geplaatst wordt, betekent dat, dat deze los van andere processen draait. Het achterliggende idee is om op deze manier bugs te voorkomen en ervoor te zorgen dat exploits niet al te breed uitgebuit kunnen worden. De sandbox voorkomt immers lekken naar andere delen van het besturingssysteem.
Automatisch porten
De Sandboxed API is een library die codeurs helpt bij het geautomatiseerd porten van hun bestaande C en C++ code, zodat deze draait in Sandbox2. Dat is de door Google zelf gemaakte sandbox-omgeving voor Linux-systemen. Sandbox2 is vanaf nu open-source en wordt met de Sandboxed API op GitHub meegeleverd.
Het is niet voor het eerst dat dit soort sandbox-tools open-source gemaakt worden. Ontwikkelaars hebben dan ook verschillende andere tools ter beschikking waarmee ze hun code in een sandbox kunnen plaatsen. Deze specifieke software heeft echter als voordeel dat het door softwaregigant Google gebouwd is.
Software isoleren
Volgens Christian Blichmann en Robert Swiecki, die binnen het Google ISE Sandboxing-team werken, isoleren soortgelijke populaire tools de software niet goed van de rest van het besturingssysteem. “Het kost veel tijd om de veiligheidsinstellingen voor elk project dat in de sandbox moet goed te definiëren”, aldus Blichmann en Swiecki. Daar brengt de Sandbox-software van Google dus verandering in.
Google wil in de toekomst ook andere programmeertalen dan C en C++ toevoegen aan de Sandboxed API. Ook wil het Sandboxing2 naar andere Unix-achtige besturingssystemen als BSD en macOS brengen. “Een Windows-port is een grotere onderneming en vereist wat meer werk”, vertellen Blichmann en Swiecki.
15 uur geleden
