Ich möchte nicht, dass Benutzer die Sandbox versehentlich deaktivieren, indem sie in ihrem Kernel Benutzer-Namespaces oder andere Mechanismen deaktiviert lassen. Ich möchte ihren Build-Ergebnissen vertrauen können. Wie zwinge ich die Sandbox durch Flaggen?Wie benötige ich die Sandbox?
(Der einfachste Weg, die ich gefunden habe, dies zu testen ist/bin bewegen/true woanders für einen Moment und stellen Sie sicher, dass Bazel etwas bauen verweigert)
Sie können eine explizite Spawn Strategie angeben, anstatt auf die der Berufung „wählen Sie den besten verfügbaren“ Algorithmus:
bazel build --spawn_strategy=linux-sandbox
Dies baut mit einem Fehler fehlschlagen lassen, wenn der Benutzer Namensraum nicht zur Verfügung steht. Auf macOS heißt die Strategie "darwin-sandbox".
Wenn Sie Java-Code erstellen, möchten Sie möglicherweise auch Worker-Sandboxing aktivieren (--worker_sandboxing) oder deaktivieren Sie die persistente Worker-Funktion und kompilieren Sie Java innerhalb der strikteren Sandbox (--strategy=Javac=linux-sandbox).