3 dépôts
Binds each task to its own controlled view of the system through virtual, mapped, and isolated contexts, ensuring predictable behavior under concurrency and preemption.
Distinct from Execution Isolation: Distinct from Execution Isolation: focuses on kernel-level task isolation with virtual and mapped contexts, not general runtime security boundaries.
Explore 3 awesome GitHub repositories matching security & cryptography · Kernel Task Execution Isolations. Refine with filters or upvote what's useful.
CppGuide is a curated collection of educational resources and practical guides focused on C++ server development, Linux kernel internals, concurrent programming, network protocols, and security exploitation. It provides structured learning paths for backend developers, covering everything from interview preparation to building high-performance network servers and understanding operating system fundamentals. The guide distinguishes itself by offering in-depth, hands-on tutorials that walk through real-world implementations, including building a Redis-like server from scratch, designing custom
Explains kernel task execution isolation using virtual and mapped contexts.
Asterinas est un noyau de système d'exploitation sécurisé en mémoire conçu pour prévenir les data races et la corruption mémoire. Il fonctionne comme un noyau compatible Linux-ABI, permettant l'exécution de binaires Linux existants et de charges de travail conteneurisées tout en offrant un modèle de distribution de système d'exploitation déclaratif. Le projet se distingue en agissant comme un hôte de conteneurs pour machines virtuelles et un OS invité pour le confidential computing, lui permettant de s'exécuter au sein d'environnements d'exécution isolés matériellement comme Intel TDX. Il implémente une base de calcul de confiance minimale en isolant les opérations dangereuses de bas niveau et sépare les mécanismes fondamentaux du noyau des implémentations de politiques spécifiques. Le système couvre un large éventail de capacités, incluant la gestion de la mémoire physique et virtuelle, le multi-processing symétrique et l'abstraction matérielle pour diverses architectures CPU. Il inclut également le support pour les runtimes de conteneurs sécurisés, un ensemble complet de primitives réseau et socket, ainsi qu'une toolchain spécialisée pour la compilation et l'émulation du noyau. Le projet prend en charge le déploiement multi-architecture sur les plateformes x86-64, RISC-V 64 et LoongArch 64.
Creates isolated environments by disassociating processes from shared system resources.
Le sandbox-sdk est un kit de développement conçu pour construire des environnements d'exécution sécurisés et isolés sur un réseau global en périphérie (edge). Il fournit un framework pour créer des espaces de travail éphémères et conteneurisés qui permettent aux développeurs d'exécuter du code non fiable, de gérer des tâches de build et d'héberger des scripts automatisés sans compromettre la sécurité du système hôte. En tirant parti d'un runtime serverless, la plateforme permet le déploiement de ces environnements directement à la périphérie du réseau pour garantir des performances à faible latence. La plateforme se distingue par l'intégration de modèles de langage avec une exécution en sandbox, facilitant le développement d'agents IA autonomes capables d'effectuer des tâches dynamiques et de générer du code. Elle inclut des fonctionnalités spécialisées pour le développement distant interactif, telles que des sessions de terminal persistantes et le multiplexage de flux en temps réel, qui permettent un débogage actif et l'observation des processus. La sécurité est gérée par l'injection automatisée d'identifiants et des contrôles d'accès réseau, garantissant que les jetons d'authentification sensibles restent cachés du code s'exécutant dans la sandbox. Au-delà de ses capacités d'exécution de base, la plateforme prend en charge un large éventail de flux de travail, y compris l'hébergement d'applications web, les pipelines de build automatisés et la gestion de système de fichiers distant. Elle fournit des outils pour mapper les services de conteneurs internes vers des sous-domaines publics, permettant un accès distant sécurisé aux services hébergés. Le système inclut également des fonctionnalités d'observabilité pour capturer les diagnostics d'exécution et des mécanismes de mise en cache pour accélérer les cycles de développement en réutilisant les artefacts de build.
Runs automated scripts and long-running computational tasks within secure, isolated containers to maintain system stability.