8 repositorios
Systems for running arbitrary code in isolated environments to prevent unauthorized host system access.
Distinct from Isolated Execution Environments: General hardware-isolated code execution, distinct from source code organization or language-specific process isolation.
Explore 8 awesome GitHub repositories matching security & cryptography · Isolated Code Execution. Refine with filters or upvote what's useful.
CubeSandbox es una plataforma basada en Kubernetes para ejecutar agentes de IA en entornos seguros y ligeros. Proporciona un sandbox de ejecución de código que utiliza aislamiento de hardware y kernels invitados dedicados para ejecutar código no confiable sin arriesgar el sistema host. El proyecto cuenta con un firewall de salida de red que restringe la comunicación saliente mediante listas de permitidos de dominio y registro de auditoría. También incluye un gestor de snapshots de contenedores capaz de capturar la memoria de tiempo de ejecución y el estado del disco de los entornos para permitir la clonación y recuperación instantánea. La plataforma cubre la orquestación de clústeres a través de un panel administrativo basado en web para monitorear la salud de los nodos y gestionar plantillas de contenedores. Capacidades adicionales incluyen la inyección segura de credenciales mediante almacenes externos y la distribución de plantillas de imágenes reutilizables a través de nodos del clúster para reducir la latencia de inicio.
Runs arbitrary code in hardware-isolated environments with dedicated guest kernels to prevent unauthorized system access.
Hyperlight es un gestor de máquinas virtuales embebidas diseñado para ejecutar binarios invitados dentro de sandboxes de código aislados por hardware. Utiliza un gestor de micro-VM KVM para ejecutar código de terceros no confiable, aplicando límites de memoria estrictos para evitar el acceso no autorizado al host. El proyecto cuenta con un puente de funciones invitado-host que facilita la comunicación bidireccional y una herramienta de instantáneas de estado para guardar y restaurar el estado de memoria de un sandbox y reducir la latencia de inicio. El sistema incluye una cadena de herramientas para la compilación cruzada de binarios invitados y mecanismos para gestionar restricciones de recursos, como la asignación fija de memoria heap y stack. Proporciona primitivas para invocar funciones específicas dentro del invitado y registrar funciones del host para un acceso controlado a los recursos.
Provides a secure system for running arbitrary third-party code in isolated environments to prevent unauthorized host access.
Este proyecto es un repositorio de localización al chino y un proyecto de traducción técnica diseñado para hacer que los proyectos de programación concisos y la documentación técnica sean accesibles para los hablantes de chino. Proporciona una colección de recursos traducidos y mapeos curados de terminología de ciencias de la computación para asegurar una traducción consistente de conceptos técnicos. El proyecto implementa un flujo de trabajo de localización de software que convierte guías técnicas y documentación de código base en inglés al chino. Este proceso utiliza un recurso de glosario técnico y un modelo de localización impulsado por recursos para mantener el significado original y el contexto técnico del material fuente. El repositorio cubre la traducción de documentación técnica y la gestión de mapeos de traducción estandarizados para asegurar una redacción técnica consistente en diversos proyectos de software.
Executes formula computations in background workers to isolate them from the main user interface thread.
OpenSquilla es un framework de orquestación de agentes LLM diseñado para coordinar flujos de trabajo de IA de varios pasos y la ejecución de herramientas mediante grafos acíclicos dirigidos. Funciona como un sistema centralizado para gestionar paquetes de habilidades especializadas y ejecutar secuencias de razonamiento complejas. El proyecto se distingue por una pasarela de enrutamiento que dirige las tareas a diferentes proveedores de IA según la complejidad, el coste y el rendimiento. Utiliza un sistema de memoria de IA de varios niveles que organiza el conocimiento de trabajo, episódico y semántico mediante embeddings locales y SQLite, junto con un sandbox de ejecución seguro que aísla el código generado por el agente mediante perfiles de permisos basados en riesgos. La plataforma cubre una amplia gama de capacidades, incluyendo despliegue multicanal en web y plataformas de mensajería, programación automatizada de tareas mediante cron y un puente de Model Context Protocol para conectar con herramientas externas. También proporciona herramientas integrales de monitoreo y observabilidad para rastrear costes de tokens, auditar decisiones en tiempo de ejecución y gestionar un catálogo de habilidades reutilizables. El sistema incluye utilidades de línea de comandos para la inicialización del espacio de trabajo y la gestión del ciclo de vida de las habilidades.
Deno AI Agent runs agent actions in restricted environments with risk-based policies to prevent unauthorized system access.
vm2 es un sandbox de JavaScript para Node.js y virtualizador de runtime diseñado para ejecutar código no confiable. Funciona como un evaluador de código seguro y aislador de módulos que protege el proceso host creando un entorno de ejecución aislado con acceso restringido al runtime de Node.js. El sistema se distingue por un framework de seguridad que utiliza proxying de objetos y congelación profunda (deep freezing) para evitar que los scripts en sandbox modifiquen el contexto global del host o los objetos compartidos. Implementa un control de acceso a módulos estricto utilizando listas de permitidos y restricciones de ruta para gobernar qué dependencias integradas o externas pueden cargarse. El proyecto cubre áreas de capacidad amplias, incluyendo la gestión de recursos, donde limita la asignación de memoria para búferes y aplica tiempos de espera de ejecución para prevenir ataques de denegación de servicio. También proporciona restricciones de acceso al sistema de archivos y herramientas para la interoperabilidad entre sandboxes y redirección de salida de consola. Está disponible una interfaz de línea de comandos para ejecutar archivos JavaScript directamente dentro del entorno de sandbox aislado.
Provides a secure environment for executing untrusted third-party JavaScript code while protecting the host Node.js process.
Lucet es un runtime de WebAssembly y compilador de sandboxing que traduce bytecode de WebAssembly a código máquina nativo. Sirve como un entorno de ejecución seguro y generador de código nativo diseñado para ejecutar código no confiable mientras previene el acceso no autorizado a los recursos del sistema host. El proyecto se centra en el sandboxing de alto rendimiento mediante el uso de compilación ahead-of-time para lograr velocidades de ejecución cercanas a las nativas. Implementa aislamiento de fallos basado en software y una interfaz de llamadas al host para gestionar la comunicación segura y el intercambio de datos entre el módulo aislado y la aplicación host externa. El sistema proporciona capacidades para la generación de código máquina nativo, mapeo de memoria lineal y ejecución basada en sandbox para garantizar un fuerte aislamiento de memoria.
Ensures secure code execution by running programs in an isolated environment to prevent host system access.
Claudia is a command-line utility and framework designed to automate the packaging, routing, and deployment of Node.js applications to serverless cloud environments. It functions as an interface for managing the entire lifecycle of backend services, handling the translation of application code into executable cloud functions and managed network gateways. The tool distinguishes itself by abstracting complex infrastructure tasks, allowing developers to define web routes and conversational interfaces directly within their source code. It automates the provisioning of cloud resources, including t
Packages local source code and dependency trees into compressed archives formatted for execution within isolated serverless runtime environments.
Este proyecto proporciona un motor de ejecución contenerizado y seguro diseñado para ejecutar código no confiable dentro de entornos aislados. Funciona como una biblioteca para integrar la interpretación de código en agentes autónomos y flujos de trabajo de asistentes inteligentes, asegurando que los sistemas host permanezcan protegidos mientras se permite el procesamiento dinámico de datos y la manipulación de archivos. La plataforma se distingue por una arquitectura multi-backend que abstrae diversos runtimes de contenedores, permitiendo un despliegue flexible y una conmutación por error de backend automatizada. Admite flujos de trabajo interactivos de varios turnos manteniendo estados de ejecución persistentes y variables de sesión, mientras optimiza el rendimiento a través de pools de contenedores precalentados que minimizan la latencia de inicio para tareas de alta frecuencia. Más allá de la ejecución central, el sistema incluye middleware integral para aplicar políticas de seguridad, gestionar restricciones de recursos y restringir el acceso a módulos de lenguaje sensibles. Automatiza el ciclo de vida de la ejecución de código manejando la instalación de dependencias, transmitiendo la salida en tiempo real y extrayendo artefactos o visualizaciones generadas para su uso en aplicaciones posteriores.
Provides secure, containerized execution environments for running untrusted code while protecting the host system.