← 返回信息流
AI 资讯Hacker News·3 小时前

Show HN: Z-Jail – A 130 KB Linux sandbox-C99 with 7 defense layers and zero deps

AI 深度解读

背景

在 Linux 系统上执行不受信任的原生代码时,沙箱隔离是核心的安全防线。然而,现有的沙箱方案往往面临两难选择:bwrap(bubblewrap)极其轻量,但默认不提供 seccomp 过滤,安全纵深不足;而 nsjail 功能完备,却依赖繁多,体量臃肿。在 CI/CD 流水线、CTF 挑战以及轻量级代码评测等场景中,开发者亟需一种介于两者之间的方案——既不需要引入沉重的容器运行时,又能提供深度的防御能力。

正是在这一背景下,Z-Jail 应运而生。这是一个使用 C99 编写的 Linux 沙箱工具,编译后的 PIE(位置无关可执行文件)二进制体积仅约 130 KiB,且零外部依赖。它通过 7 层独立

查看原文 →github.com