bazelbuild/bazel

Stronger MacOS Sandbox with FSKit

Open

#29.165 geöffnet am 31. März 2026

Auf GitHub ansehen
 (3 Kommentare) (6 Reaktionen) (0 zugewiesene Personen)Java (4.465 Forks)batch import
P3help wantedteam-Remote-Exectype: feature request

Repository-Metriken

Stars
 (25.384 Stars)
PR-Merge-Metriken
 (Durchschn. Merge 7T 2h) (36 gemergte PRs in 30 T)

Beschreibung

Description of the feature request:

@thesayyn has been studying the new https://developer.apple.com/documentation/FSKit API introduced in recent versions of MacOS. We believe this could allow a sandbox implementation that's both fast and isolated, in the sense that it avoids common sandbox escaping by following symlinks.

Background:

Alternatives:

  • Replace eager symlink creation with an on-demand userland filesystem
  • If cross-device hardlinks were permitted, it might help. The kernel security system might need changes.
  • MacFUSE has a FSkit implementation now, but you have to reduce secure boot.
  • bb-clientd uses an NFS approach but it's brittle (@jsharpe)

Which category does this issue belong to?

Action Spawns

Contributor Guide

Research-Richtung
Untersuche die FSKit API und das bestehende sandboxfs Experiment von @thesayyn. Verstehe die aktuelle Sandbox Implementierung in Bazel, um zu identifizieren, wo FSKit den langsameren, auf symbolischen Links basierenden Ansatz ersetzen könnte.
Tech Stack
javagorust
Domain
backendbuild system
Issue Type
Funktion
SchwierigkeitGeschätzte Implementierungsschwierigkeit für neue Contributors, von 1 für sehr kleine Änderungen bis 5 für Expertenarbeit.
4
Geschätzte ZeitEin grober Zeitrahmen, um zu recherchieren, zu implementieren, zu testen und einen Pull Request vorzubereiten.
Über 1 Woche
AktivitätsstatusWie verfügbar das Issue gerade wirkt: frisch, aktiv, stale, blockiert oder wartet auf Maintainer-Input.
Aktiv
KlarheitWie klar das Issue die erwartete Änderung, Akzeptanzkriterien und den nächsten Schritt erklärt.
Recherche nötig
Voraussetzungen
macOS developmentGoRust
EinsteigerfreundlichkeitEin Score von 1 bis 100, der schätzt, wie zugänglich dieses Issue für First-Time Contributors ist.
10