Exploration du sandbox-exec de macOS pour une exécution sécurisée des applications

✍️ OpenClawRadar📅 Publié: February 21, 2026🔗 Source
Exploration du sandbox-exec de macOS pour une exécution sécurisée des applications
Ad

sandbox-exec est un utilitaire en ligne de commande intégré à macOS, conçu pour exécuter des applications dans un environnement isolé (bac à sable). Cet outil aide à créer un espace sécurisé et restreint où les applications peuvent s'exécuter avec un accès limité aux ressources système, réduisant ainsi les risques liés à du code malveillant ou à des comportements involontaires.

Détails clés

L'isolation des applications avec sandbox-exec vise à se protéger contre le code malveillant, à limiter les dommages causés par des applications compromises, et à améliorer le contrôle des ressources et la confidentialité. Pour utiliser sandbox-exec, vous avez besoin d'un profil de bac à sable, qui est un fichier de configuration décrivant les règles de l'environnement sécurisé. La syntaxe de commande de base est :

sandbox-exec -f profile.sb command_to_run

Ici, profile.sb spécifie les règles, et command_to_run est l'application à exécuter dans ces contraintes.

Les profils de bac à sable sont écrits en utilisant une syntaxe de type Scheme et incluent des déclarations de version, des politiques par défaut et des règles spécifiques. Il existe deux approches fondamentales pour configurer ces profils :

  • Refuser par défaut : Restreint toutes les opérations initialement et n'autorise que celles nécessaires. Exemple :
(version 1) (deny default) (allow file-read-data (regex "^/usr/lib")) (allow process-exec (literal "/usr/bin/python3"))
  • Autoriser par défaut : Permet tout sauf des opérations spécifiques. Exemple :
(version 1) (allow default) (deny network*) (deny file-write* (regex "^/Users"))

Pour un usage pratique, vous pourriez configurer une session de terminal en bac à sable sans accès réseau :

# terminal-sandbox.sb (version 1) (allow default) (deny network*) (deny file-read-data (regex "/Users/[^/]+/(Documents|Pictures|Desktop)")

Exécutez-la en utilisant :

sandbox-exec -f terminal-sandbox.sb zsh

De plus, macOS fournit des profils prédéfinis dans /System/Library/Sandbox/Profiles pour des scénarios de restriction courants, comme le profil no-network.

Ad

À qui s'adresse cet outil

Cet outil est idéal pour les développeurs et les professionnels de la sécurité qui ont besoin de tester des applications dans un environnement contrôlé ou d'imposer des politiques de sécurité strictes.

📖 Lire la source complète : HN LLM Tools

Ad

👀 See Also