8 个仓库
Systems for running arbitrary code in isolated environments to prevent unauthorized host system access.
Distinct from Isolated Execution Environments: General hardware-isolated code execution, distinct from source code organization or language-specific process isolation.
Explore 8 awesome GitHub repositories matching security & cryptography · Isolated Code Execution. Refine with filters or upvote what's useful.
CubeSandbox 是一个基于 Kubernetes 的平台,用于在安全、轻量级的环境中执行 AI 代理。它提供了一个代码执行沙箱,使用硬件隔离和专用客户内核来运行不受信任的代码,而不会危及主机系统。 该项目具有网络出口防火墙,通过域名允许列表和审计日志限制出站通信。它还包括一个容器快照管理器,能够捕获环境的运行时内存和磁盘状态,以实现即时克隆和恢复。 该平台通过用于监控节点健康状况和管理容器模板的基于 Web 的管理仪表板涵盖集群编排。其他功能包括通过外部库进行安全凭证注入,以及跨集群节点分发可重用镜像模板以减少启动延迟。
Runs arbitrary code in hardware-isolated environments with dedicated guest kernels to prevent unauthorized system access.
Hyperlight 是一个嵌入式虚拟机管理器,旨在在硬件隔离的代码沙箱中执行访客二进制文件。它利用 KVM 微型虚拟机管理器来运行不受信任的第三方代码,强制执行严格的内存边界以防止未经授权的宿主机访问。 该项目具有访客-宿主机函数桥接功能,可促进双向通信,并提供一个状态快照工具,用于保存和恢复沙箱的内存状态以减少启动延迟。 该系统包括一个用于访客二进制文件交叉编译的工具链,以及用于管理资源约束(如固定堆和栈内存分配)的机制。它提供了在访客内部调用特定函数以及注册宿主机函数以进行受控资源访问的原语。
Provides a secure system for running arbitrary third-party code in isolated environments to prevent unauthorized host access.
This project is a Chinese localization repository and technical translation project designed to make concise programming projects and technical documentation accessible to Chinese speakers. It provides a collection of translated resources and curated mappings of computer science terminology to ensure consistent translation of technical concepts. The project implements a software localization workflow that converts English-language technical guides and codebase documentation into Chinese. This process utilizes a technical glossary resource and a resource-driven localization model to maintain t
Executes formula computations in background workers to isolate them from the main user interface thread.
OpenSquilla 是一个 LLM 智能体编排框架,旨在利用有向无环图协调多步 AI 工作流和工具执行。它作为一个集中式系统,用于管理专门的技能包并执行复杂的推理序列。 该项目通过一个路由网关脱颖而出,该网关根据复杂性、成本和性能将任务定向到不同的 AI 提供商。它利用多层 AI 记忆系统,通过本地嵌入和 SQLite 组织工作、情景和语义知识,并配有一个安全执行沙盒,通过基于风险的权限配置文件隔离智能体生成的代码。 该平台涵盖了广泛的功能,包括多渠道部署到 Web 和消息平台、通过 cron 进行自动任务调度,以及用于连接外部工具的 Model Context Protocol 网桥。它还提供全面的监控和可观测性工具,用于跟踪 Token 成本、审计运行时决策以及管理可重用技能目录。 该系统包括用于工作区初始化和技能生命周期管理的命令行工具。
Deno AI Agent runs agent actions in restricted environments with risk-based policies to prevent unauthorized system access.
vm2 是一个 Node.js JavaScript 沙箱和运行时虚拟化器,旨在执行不受信任的代码。它作为一个安全的代码评估器和模块隔离器,通过创建一个对 Node.js 运行时访问受限的隔离执行环境来保护宿主进程。 该系统通过一个安全框架脱颖而出,该框架利用对象代理和深度冻结来防止沙箱脚本修改宿主全局上下文或共享对象。它使用允许列表和路径限制来实现严格的模块访问控制,以管理可以加载哪些内置或外部依赖项。 该项目涵盖了广泛的功能领域,包括资源管理,其中它限制了缓冲区的内存分配并强制执行执行超时以防止拒绝服务攻击。它还提供文件系统访问限制,以及用于跨沙箱互操作性和控制台输出重定向的工具。 提供了一个命令行界面,用于直接在隔离的沙箱环境中执行 JavaScript 文件。
Provides a secure environment for executing untrusted third-party JavaScript code while protecting the host Node.js process.
Lucet 是一个 WebAssembly 运行时和沙箱编译器,可将 WebAssembly 字节码转换为原生机器码。它作为一个安全执行环境和原生代码生成器,旨在运行不受信任的代码,同时防止对主机系统资源的未经授权访问。 该项目专注于通过使用提前编译(AOT)实现接近原生的执行速度,从而实现高性能沙箱。它实现了基于软件的故障隔离和主机调用接口,以管理隔离模块与外部宿主应用之间的安全通信和数据交换。 该系统提供了原生机器码生成、线性内存映射和基于沙箱的执行功能,以确保强大的内存隔离。
Ensures secure code execution by running programs in an isolated environment to prevent host system access.
Claudia 是一个命令行实用程序和框架,旨在自动化将 Node.js 应用程序打包、路由和部署到无服务器云环境。它作为管理后端服务整个生命周期的接口,处理将应用程序代码转换为可执行云函数和托管网络网关的过程。 该工具通过抽象复杂的基础设施任务而脱颖而出,允许开发人员直接在源代码中定义 Web 路由和对话界面。它自动化了云资源的配置,包括安全访问规则、日志记录和特定环境设置的配置,确保基础设施状态在部署之间保持一致和可重复。 除了核心部署外,该项目还提供了管理环境变量和密钥的功能,以及为 Web API 和聊天机器人配置事件驱动触发器的功能。它作为命令行界面分发,管理依赖项的捆绑以及随后将这些工件交付到基于云的托管服务。
Packages local source code and dependency trees into compressed archives formatted for execution within isolated serverless runtime environments.
该项目提供了一个安全的容器化执行引擎,旨在在隔离环境中运行不受信任的代码。它作为一个库,用于将代码解释集成到自主智能体和智能助手工作流中,确保宿主系统保持受保护状态,同时实现动态数据处理和文件操作。 该平台通过抽象不同容器运行时的多后端架构脱颖而出,允许灵活的部署和自动化的后端故障转移。它通过维护持久的执行状态和会话变量来支持交互式、多轮工作流,同时通过预热的容器池优化性能,从而最大限度地减少高频任务的启动延迟。 除了核心执行外,该系统还包含用于强制执行安全策略、管理资源约束和限制对敏感语言模块访问的全面中间件。它通过处理依赖安装、流式传输实时输出以及提取生成的制品或可视化结果供下游应用使用,实现了代码执行生命周期的自动化。
Provides secure, containerized execution environments for running untrusted code while protecting the host system.