Проект NetBSD вскоре может получить полноценную систему «песочницы» благодаря программе Summer of Code. Василий Ланко поделился деталями текущей работы над этой возможностью.
На момент написания статьи в NetBSD ещё нет полноценной системы песочниц. Есть chroot — его можно считать упрощённой формой изоляции, так как он меняет корневой каталог процесса и ограничивает его видимость файловой системы. Однако chroot не отделяет процесс от остальной системы: сетевые подключения, IPC и точки монтирования остаются общими. В NetBSD уже предпринимались попытки реализовать ядровую изоляцию с помощью инструментов вроде gaols, mult и netbsd-sandbox, но они так и не вошли в основной состав системы. В то время как другие операционные системы давно используют собственные решения — например, jails во FreeBSD и пространства имён в Linux. Цель проекта — добавить в NetBSD современный механизм песочниц, аналогичный linux-namespaces, которые позволяют изолировать части системы от остального окружения — или, с точки зрения пользователя, от приложения.
Подробнее о разработке новой «песочницы» можно прочитать в блоге проекта.