Die standardmäßige Bazel-Sandbox ermöglicht den Lesezugriff auf /. Wie kann ich das weiter einschränken? Z.B. Ich möchte verhindern, dass nicht-hermetische Tests auf das Verzeichnis /search zugreifen.Wie blockiere ich die Sandbox des Bazel-Dateisystems?
Es war ein --sandbox_block_path Flag, aber es was removed in 0,5.
Vielen Dank für Ihre Meldung, dass die Entfernung dieser Funktion ein Problem für Sie darstellt. Ich habe einen Weg gefunden, wie man es unter Linux und MacOS zuverlässig macht und es zurückbringt. Die Code-Überprüfung wurde bereits an einen Kollegen gesendet. Ich werde sicherstellen, dass es in Bazel 0.5.0 aufgenommen wird.
Danke, dass du das zurück gebracht hast. Gibt es eine gute Erklärung dafür, warum '/' standardmäßig lesbar ist? Meine Vorstellung einer Sandbox, die entworfen wurde, um Hermetizität zu erzwingen, besteht darin, alles standardmäßig zu sperren und Benutzer zu zwingen, eine sehr begrenzte, sagen wir, '--sandbox_allow_path'-Liste zu spezifizieren, anstatt umgekehrt. Wie macht Google das? – Gregg
@Gregg "alles absperren, standardmäßig, außer einer Whitelist" war Bazels erster Versuch, Sandboxing zu betreiben und war wegen des Arbeitsaufwandes bei den Benutzern sehr unpopulär. Nichtsdestotrotz entwickelt sich die Sandbox weiter und wir könnten in Zukunft eine strengere Version (als Opt-In) hinzufügen. :) Übrigens, die Änderung --sandbox_allow_path hat es nicht in die Version 0.5.0/0.5.1 geschafft, wird aber in der Version 0.5.2 enthalten sein, einschließlich einer weiteren neuen Flagge, die für Sie hilfreich sein könnte (- -sandbox_schreibbarer_pfad). –
@PhilippWollermann kannst du vielleicht einen Link zum Github-Thema hinzufügen oder committen? – Ittai
Ein einfacher Ansatz wäre, Bazel als spezifischen Benutzer auszuführen und den Lesezugriff auf "/ search" mit ACL zu deaktivieren. – abergmeier
"Die Standard-Bazel-Sandbox erlaubt Lesezugriff auf'/'." - Das klingt wie ein Käfer. Könnten Sie es bitte unter https://github.com/bazelbuild/bazel/issues/new einreichen und alle Informationen hinzufügen, die relevant sein könnten? (Z. B. Welche Bazel-Version oder Commit-Hash haben Sie bei diesem Bug gesehen, welche Flags haben Sie in der Befehlszeile übergeben, alles, was relevant sein könnte.) Danke! –