8 dépôts
Systems for running arbitrary code in isolated environments to prevent unauthorized host system access.
Distinct from Isolated Execution Environments: General hardware-isolated code execution, distinct from source code organization or language-specific process isolation.
Explore 8 awesome GitHub repositories matching security & cryptography · Isolated Code Execution. Refine with filters or upvote what's useful.
CubeSandbox est une plateforme basée sur Kubernetes pour exécuter des agents IA dans des environnements sécurisés et légers. Elle fournit un sandbox d'exécution de code qui utilise l'isolation matérielle et des noyaux invités dédiés pour exécuter du code non fiable sans risquer le système hôte. Le projet présente un pare-feu de sortie réseau qui restreint la communication sortante via des listes d'autorisation de domaines et la journalisation d'audit. Il inclut également un gestionnaire d'instantanés de conteneur capable de capturer la mémoire d'exécution et l'état du disque des environnements pour permettre le clonage et la récupération instantanés. La plateforme couvre l'orchestration de cluster via un tableau de bord administratif basé sur le web pour surveiller la santé des nœuds et gérer les templates de conteneurs. Des capacités supplémentaires incluent l'injection sécurisée d'identifiants via des coffres-forts externes et la distribution de templates d'images réutilisables à travers les nœuds du cluster pour réduire la latence de démarrage.
Runs arbitrary code in hardware-isolated environments with dedicated guest kernels to prevent unauthorized system access.
Hyperlight est un gestionnaire de machine virtuelle embarqué conçu pour exécuter des binaires invités au sein de bacs à sable (sandboxes) isolés matériellement. Il utilise un gestionnaire de micro-VM KVM pour exécuter du code tiers non fiable, imposant des limites de mémoire strictes pour empêcher tout accès non autorisé à l'hôte. Le projet dispose d'un pont de fonctions invité-hôte qui facilite la communication bidirectionnelle et d'un outil de snapshot d'état pour sauvegarder et restaurer l'état mémoire d'un bac à sable afin de réduire la latence de démarrage. Le système inclut une chaîne d'outils pour la compilation croisée de binaires invités et des mécanismes pour gérer les contraintes de ressources, telles que l'allocation fixe de mémoire heap et stack. Il fournit des primitives pour invoquer des fonctions spécifiques au sein de l'invité et enregistrer des fonctions hôtes pour un accès contrôlé aux ressources.
Provides a secure system for running arbitrary third-party code in isolated environments to prevent unauthorized host access.
Ce projet est un dépôt de localisation chinoise et un projet de traduction technique conçu pour rendre les projets de programmation concis et la documentation technique accessibles aux sinophones. Il fournit une collection de ressources traduites et des mappages curés de terminologie informatique pour assurer une traduction cohérente des concepts techniques. Le projet implémente un flux de travail de localisation logicielle qui convertit les guides techniques et la documentation de base de code en langue anglaise vers le chinois. Ce processus utilise une ressource de glossaire technique et un modèle de localisation piloté par les ressources pour maintenir le sens original et le contexte technique du matériel source. Le dépôt couvre la traduction de documentation technique et la gestion de mappages de traduction standardisés pour assurer une formulation technique cohérente à travers divers projets logiciels.
Executes formula computations in background workers to isolate them from the main user interface thread.
OpenSquilla est un framework d'orchestration d'agents LLM conçu pour coordonner des workflows IA multi-étapes et l'exécution d'outils via des graphes orientés acycliques (DAG). Il fonctionne comme un système centralisé pour gérer des packages de compétences spécialisés et exécuter des séquences de raisonnement complexes. Le projet se distingue par une passerelle de routage qui dirige les tâches vers différents fournisseurs d'IA en fonction de la complexité, du coût et de la performance. Il utilise un système de mémoire IA à plusieurs niveaux qui organise les connaissances de travail, épisodiques et sémantiques à l'aide d'embeddings locaux et de SQLite, ainsi qu'un bac à sable d'exécution sécurisé qui isole le code généré par l'agent via des profils de permission basés sur les risques. La plateforme couvre un large éventail de capacités, incluant le déploiement multicanal vers le web et les plateformes de messagerie, la planification automatisée des tâches via cron, et un pont Model Context Protocol pour se connecter à des outils externes. Elle fournit également des outils complets de surveillance et d'observabilité pour suivre les coûts en jetons, auditer les décisions d'exécution et gérer un catalogue de compétences réutilisables. Le système inclut des utilitaires en ligne de commande pour l'initialisation de l'espace de travail et la gestion du cycle de vie des compétences.
Deno AI Agent runs agent actions in restricted environments with risk-based policies to prevent unauthorized system access.
vm2 est un sandbox JavaScript Node.js et un virtualiseur de runtime conçu pour exécuter du code non fiable. Il fonctionne comme un évaluateur de code sécurisé et un isolateur de modules qui protège le processus hôte en créant un environnement d'exécution isolé avec un accès restreint au runtime Node.js. Le système se distingue par un framework de sécurité qui utilise le proxying d'objets et le gel profond (deep freezing) pour empêcher les scripts sandboxés de modifier le contexte global de l'hôte ou les objets partagés. Il implémente un contrôle d'accès strict aux modules en utilisant des listes d'autorisation et des restrictions de chemin pour régir quelles dépendances intégrées ou externes peuvent être chargées. Le projet couvre de larges domaines de capacités incluant la gestion des ressources, où il plafonne l'allocation de mémoire pour les buffers et impose des délais d'exécution pour empêcher les attaques par déni de service. Il fournit également des restrictions d'accès au système de fichiers et des outils pour l'interopérabilité inter-sandbox et la redirection de la sortie console. Une interface de ligne de commande est disponible pour exécuter des fichiers JavaScript directement dans l'environnement sandbox isolé.
Provides a secure environment for executing untrusted third-party JavaScript code while protecting the host Node.js process.
Lucet est un runtime WebAssembly et un compilateur de sandboxing qui traduit le bytecode WebAssembly en code machine natif. Il sert d'environnement d'exécution sécurisé et de générateur de code natif conçu pour exécuter du code non fiable tout en empêchant l'accès non autorisé aux ressources du système hôte. Le projet se concentre sur le sandboxing haute performance en utilisant la compilation ahead-of-time pour atteindre des vitesses d'exécution quasi natives. Il implémente une isolation des fautes basée sur le logiciel et une interface d'appels hôtes pour gérer la communication sécurisée et l'échange de données entre le module isolé et l'application hôte externe. Le système fournit des capacités pour la génération de code machine natif, le mappage de mémoire linéaire et l'exécution basée sur sandbox pour assurer une forte isolation mémoire.
Ensures secure code execution by running programs in an isolated environment to prevent host system access.
Claudia est un utilitaire en ligne de commande et un framework conçu pour automatiser l'empaquetage, le routage et le déploiement d'applications Node.js vers des environnements cloud serverless. Il fonctionne comme une interface pour gérer tout le cycle de vie des services backend, gérant la traduction du code d'application en fonctions cloud exécutables et en passerelles réseau gérées. L'outil se distingue en abstrayant les tâches d'infrastructure complexes, permettant aux développeurs de définir des routes web et des interfaces conversationnelles directement dans leur code source. Il automatise le provisionnement des ressources cloud, y compris la configuration des règles d'accès de sécurité, la journalisation et les paramètres spécifiques à l'environnement, garantissant que les états de l'infrastructure restent cohérents et reproductibles à travers les déploiements. Au-delà du déploiement de base, le projet fournit des capacités pour gérer les variables d'environnement et les secrets, ainsi que pour configurer des déclencheurs événementiels pour les API web et les chatbots. Il est distribué sous forme d'interface en ligne de commande qui gère le regroupement des dépendances et la livraison ultérieure de ces artefacts vers des services d'hébergement cloud.
Packages local source code and dependency trees into compressed archives formatted for execution within isolated serverless runtime environments.
Ce projet fournit un moteur d'exécution conteneurisé et sécurisé conçu pour exécuter du code non fiable au sein d'environnements isolés. Il fonctionne comme une bibliothèque pour intégrer l'interprétation de code dans des agents autonomes et des flux de travail d'assistants intelligents, garantissant que les systèmes hôtes restent protégés tout en permettant un traitement dynamique des données et une manipulation de fichiers. La plateforme se distingue par une architecture multi-backend qui abstrait divers runtimes de conteneurs, permettant un déploiement flexible et un basculement automatique du backend. Elle prend en charge des flux de travail interactifs et multi-tours en maintenant des états d'exécution persistants et des variables de session, tout en optimisant les performances via des pools de conteneurs pré-chauffés qui minimisent la latence de démarrage pour les tâches à haute fréquence. Au-delà de l'exécution de base, le système inclut un middleware complet pour appliquer des politiques de sécurité, gérer les contraintes de ressources et restreindre l'accès aux modules linguistiques sensibles. Il automatise le cycle de vie de l'exécution du code en gérant l'installation des dépendances, la diffusion des sorties en temps réel et l'extraction des artefacts générés ou des visualisations pour une utilisation dans des applications en aval.
Provides secure, containerized execution environments for running untrusted code while protecting the host system.