Explorando sandbox-exec de macOS para la ejecución segura de aplicaciones.
sandbox-exec es una utilidad de línea de comandos integrada en macOS, diseñada para ejecutar aplicaciones dentro de un entorno aislado. Esta herramienta ayuda a crear un espacio seguro y restringido donde las aplicaciones pueden ejecutarse con acceso limitado a los recursos del sistema, minimizando así los riesgos provenientes de código malicioso o comportamientos no deseados.
Detalles Clave
La virtualización de aplicaciones con sandbox-exec tiene como objetivo proteger contra código malicioso, limitar los daños de aplicaciones comprometidas y mejorar la privacidad y el control de los recursos. Para usar sandbox-exec, necesitas un perfil de sandbox, que es un archivo de configuración que establece las reglas para el entorno seguro. La sintaxis básica del comando es:
sandbox-exec -f profile.sb command_to_runAquí, profile.sb especifica las reglas, y command_to_run es la aplicación que se ejecutará dentro de estas limitaciones.
Los perfiles de sandbox se escriben utilizando una sintaxis similar a Scheme e incluyen declaraciones de versión, políticas predeterminadas y reglas específicas. Hay dos enfoques fundamentales para configurar estos perfiles:
- Denegar por Defecto: Restringe todas las operaciones inicialmente y permite solo las necesarias. Ejemplo:
(version 1) (deny default) (allow file-read-data (regex "^/usr/lib")) (allow process-exec (literal "/usr/bin/python3"))- Permitir por Defecto: Permite todas las operaciones excepto las específicas. Ejemplo:
(version 1) (allow default) (deny network*) (deny file-write* (regex "^/Users"))Para un uso práctico, podrías configurar una sesión de terminal sandbox sin acceso a la red:
# terminal-sandbox.sb (version 1) (allow default) (deny network*) (deny file-read-data (regex "/Users/[^/]+/(Documents|Pictures|Desktop)")Ejecuta utilizando:
sandbox-exec -f terminal-sandbox.sb zshAdemás, macOS proporciona perfiles predefinidos en /System/Library/Sandbox/Profiles para escenarios de restricción comunes, como el perfil no-network.
Quién Lo Usa
Esta herramienta es ideal para desarrolladores y profesionales de la seguridad que necesitan probar aplicaciones en un entorno controlado o imponer políticas de seguridad estrictas.
📖 Lee la fuente completa: HN LLM Tools
👀 Ver también
Weejur: Una Interfaz de Usuario Sencilla para Publicar en GitHub Pages
Weejur es una herramienta gratuita que proporciona una interfaz de usuario simplificada para publicar sitios web a través de GitHub Pages, permitiendo a los usuarios pegar HTML o subir archivos después de iniciar sesión con OAuth.
Octopoda: Capa de Memoria de Código Abierto para Agentes de IA Locales
Octopoda es una capa de memoria de código abierto que proporciona a los agentes de IA locales memoria persistente entre sesiones, búsqueda semántica, detección de bucles y recuperación de fallos. Funciona completamente sin conexión con un modelo de incrustación de 33 MB y se integra con LangChain, CrewAI, AutoGen y OpenAI Agents SDK.
Zillow-Full: Una Habilidad de OpenClaw que Transformó la Investigación Manual de Propiedades en un Pipeline Automatizado de Ofertas
Un desarrollador creó 'zillow-full' en OpenClaw para obtener Zestimates, historial de impuestos, historial de precios y comparables por propiedad. Con un cron nocturno que puntúa listados según criterios de oferta, los acuerdos al por mayor pasaron de 2 a 11 por mes.
Habilidades de Claude Code de Código Abierto: Un Pipeline /do que Redujo los Seguimientos en un 80%
Un desarrollador publicó como código abierto 15 habilidades de Claude Code desarrolladas en más de 100 proyectos freelance. El comando /do ejecuta un pipeline de 5 pasos (/todo → /dev → /verify-dev → /build → /test → push) con bucles de autocorrección, lo que resulta en un 80% menos de seguimientos y una mejora del 60-65% en la calidad del código en más de 2000 commits.