- ข้อความ
- ประวัติศาสตร์
Two key features enable SHILL’s dec
Two key features enable SHILL’s declarative security
policies: language-level capabilities and contracts.
SHILL scripts access system resources only through capabilities:
unforgeable tokens that confer privileges on
resources. SHILL scripts receive capabilities only from
the script invoker; SHILL scripts cannot store or arbitrarily
create capabilities. Moreover, SHILL uses capabilitybased
sandboxes to control the execution of arbitrary
software. Thus, the capabilities that a user passes to a
SHILL script limit the script’s authority, including any
programs it invokes. SHILL’s contracts specify what capabilities
a script requires and how it intends to use them.
SHILL’s runtime and sandboxes enforce these contracts,
hence they serve as fine-grained, expressive, declarative
security policies that bound the effects of a script.
For example, Figure 1 shows a SHILL contract for a
script to grade a single student submission (corresponding
to the grade.sh script described above). It is a
declarative security specification for the function grade,
which takes 5 arguments: a read-only file submission
(i.e., the student’s source code), a read-only directory
tests (containing the test suite), a “working directory”
in which the script may create subdirectories with full
privileges, a writeable file grade log for recording the
student’s grade, and a “wallet” that provides sufficient
capabilities to invoke the OCaml compiler. This contract
serves two purposes: it clearly describes what grade
needs to execute correctly and it also provides guarantees
about what grade may do when invoked. Given this contract,
a user can be confident that grade satisfies the security
requirements described above, even though grade
will compile and execute student-submitted code. Specifically:
grade will not read any other student’s submission;
grade will not communicate over the network (as
it has no capability for network access); grade will not
corrupt the test suite nor write any files other than the
grade log and subdirectories it creates within the working
directory. The implementation of grade (not shown)
focuses solely on the functionality for grading, and is not
concerned with enforcing security requirements.
policies: language-level capabilities and contracts.
SHILL scripts access system resources only through capabilities:
unforgeable tokens that confer privileges on
resources. SHILL scripts receive capabilities only from
the script invoker; SHILL scripts cannot store or arbitrarily
create capabilities. Moreover, SHILL uses capabilitybased
sandboxes to control the execution of arbitrary
software. Thus, the capabilities that a user passes to a
SHILL script limit the script’s authority, including any
programs it invokes. SHILL’s contracts specify what capabilities
a script requires and how it intends to use them.
SHILL’s runtime and sandboxes enforce these contracts,
hence they serve as fine-grained, expressive, declarative
security policies that bound the effects of a script.
For example, Figure 1 shows a SHILL contract for a
script to grade a single student submission (corresponding
to the grade.sh script described above). It is a
declarative security specification for the function grade,
which takes 5 arguments: a read-only file submission
(i.e., the student’s source code), a read-only directory
tests (containing the test suite), a “working directory”
in which the script may create subdirectories with full
privileges, a writeable file grade log for recording the
student’s grade, and a “wallet” that provides sufficient
capabilities to invoke the OCaml compiler. This contract
serves two purposes: it clearly describes what grade
needs to execute correctly and it also provides guarantees
about what grade may do when invoked. Given this contract,
a user can be confident that grade satisfies the security
requirements described above, even though grade
will compile and execute student-submitted code. Specifically:
grade will not read any other student’s submission;
grade will not communicate over the network (as
it has no capability for network access); grade will not
corrupt the test suite nor write any files other than the
grade log and subdirectories it creates within the working
directory. The implementation of grade (not shown)
focuses solely on the functionality for grading, and is not
concerned with enforcing security requirements.
0/5000
สองคุณสมบัติที่สำคัญเปิดใช้งานความปลอดภัยประกาศของ SHILLนโยบาย: ความสามารถระดับภาษาและสัญญาSHILL สคริปต์การเข้าถึงทรัพยากรระบบผ่านความสามารถเฉพาะ:สัญญาณ unforgeable ที่มอบสิทธิพิเศษในทรัพยากร SHILL สคริปต์ได้รับความสามารถจากinvoker สคริปต์ ไม่สามารถเก็บ SHILL สคริปต์ หรือโดยพลการสร้างความสามารถ นอกจากนี้ SHILL ใช้ capabilitybasedsandboxes เพื่อควบคุมการดำเนินการโดยพลการซอฟต์แวร์ ดังนั้น ความสามารถที่ผู้ใช้ส่งผ่านไปยังSHILL สคริปต์จำกัดอำนาจของสคริปต์ รวมทั้งการโปรแกรมจะเรียกใช้ สัญญาของ SHILL ระบุความสามารถต้องใช้สคริปต์ และวิธีมันตั้งใจที่จะใช้รันไทม์ของ SHILL และ sandboxes บังคับสัญญาเหล่านี้ดังนั้น พวกเขาทำหน้าที่เป็นกำหนด ประกาศ แสดงนโยบายความปลอดภัยที่ผูกไว้ผลของสคริปต์ตัวอย่างเช่น รูปที่ 1 แสดงสัญญา SHILL สำหรับการสคริปต์การส่งการศึกษาไทย (ที่สอดคล้องสคริปต์ grade.sh อธิบายไว้ข้างต้น) มันเป็นการข้อมูลจำเพาะความปลอดภัยประกาศสำหรับฟังก์ชันคะแนนซึ่งใช้อาร์กิวเมนต์ที่ 5: การส่งแฟ้มอ่านอย่างเดียว(เช่น ของนักศึกษารหัสแหล่งที่มา), ไดเรกทอรีอ่านอย่างเดียวการทดสอบ (ประกอบด้วยชุดการทดสอบ) "ไดเรกทอรีทำงาน"ซึ่งสคริปต์อาจสร้างไดเรกทอรีย่อยที่เต็มไปด้วยสิทธิพิเศษ ระบบเกรดแบบเขียนแฟ้มบันทึกการเกรดของนักเรียน และ "กระเป๋าสตางค์" ที่มีเพียงพอความสามารถในการเรียกคอมไพเลอร์ OCaml สัญญานี้ทำหน้าที่สองประการ: มันอธิบายระดับใดอย่างชัดเจนต้องดำเนินการอย่างถูกต้องและยังมีรับประกันเกี่ยวกับเกรดใดอาจทำได้เมื่อเรียก กำหนดสัญญานี้ผู้ใช้สามารถมั่นใจได้ระดับที่ตอบสนองการรักษาความปลอดภัยต้องอธิบายข้างต้น แม้ว่าเกรดจะคอมไพล์ และเรียกใช้รหัสที่ส่งนักเรียน โดยเฉพาะ:เกรดจะอ่านผลงานของนักเรียนอื่น ๆเกรดจะไม่มีการสื่อสารผ่านเครือข่าย (เป็นมีไม่มีความสามารถในการเข้าถึงเครือข่าย); เกรดจะไม่เสียหายชุดการทดสอบ หรือเขียนแฟ้มใด ๆ อื่นที่ไม่ใช่การบันทึกเกรดและสร้างการทำงานภายในไดเรกทอรีย่อยไดเรกทอรี การใช้งานของเกรด (ไม่แสดง)กับการทำงานสำหรับการจัดเกรด และไม่เกี่ยวข้องกับการบังคับใช้ข้อกำหนดความปลอดภัย
การแปล กรุณารอสักครู่..
สองคุณสมบัติที่สำคัญช่วยให้ SHILL ของการรักษาความปลอดภัยเปิดเผย
นโยบาย:. ความสามารถในภาษาระดับและสัญญา
สคริปต์ SHILL เข้าถึงทรัพยากรระบบเพียงผ่านความสามารถ:
ราชสกุล unforgeable ที่มอบสิทธิประโยชน์
ทรัพยากร สคริปต์ SHILL ได้รับความสามารถเฉพาะจาก
Invoker สคริปต์; สคริปต์ SHILL ไม่สามารถจัดเก็บหรือโดยพลการ
สร้างความสามารถในการ นอกจากนี้ SHILL ใช้ capabilitybased
เรียงรายในการควบคุมการดำเนินการของพล
ซอฟแวร์ ดังนั้นความสามารถในการที่ผู้ใช้ผ่านไปยัง
สคริปต์ SHILL จำกัด อำนาจของสคริปต์รวมถึง
โปรแกรมมันจะเรียก สัญญา SHILL ของระบุสิ่งที่ความสามารถในการ
สคริปต์ต้องและวิธีการที่มันตั้งใจที่จะใช้พวกเขา.
Runtime SHILL และเรียงรายบังคับใช้สัญญาเหล่านี้
พวกเขาจึงทำหน้าที่เป็นที่ละเอียดแสดงออกเปิดเผย
นโยบายการรักษาความปลอดภัยที่ถูกผูกไว้กับผลกระทบของสคริปต์.
ตัวอย่างเช่นรูปที่ 1 แสดงให้เห็นว่าการทำสัญญา SHILL สำหรับ
สคริปต์เพื่อเกรด A ส่งนักเรียนเดียว (ตรง
ไปยังสคริปต์ grade.sh ที่อธิบายข้างต้น) มันเป็น
สเปคการรักษาความปลอดภัยเปิดเผยเกรดฟังก์ชั่น
ที่ใช้เวลา 5 ข้อโต้แย้ง: ส่งไฟล์แบบอ่านอย่างเดียว
(เช่นรหัสที่มาของนักเรียน) อ่านอย่างเดียวไดเรกทอรี
ทดสอบ (ที่มีชุดทดสอบ) ซึ่งเป็น directory "ทำงาน"
ใน ซึ่งสคริปต์อาจสร้างไดเรกทอรีย่อยที่เต็มไปด้วย
สิทธิพิเศษในการเข้าสู่ระบบเกรดไฟล์ที่เขียนลงไฟล์สำหรับการบันทึก
การเรียนของนักเรียนและ "กระเป๋าสตางค์" ที่ให้เพียงพอ
ความสามารถในการเรียกใช้คอมไพเลอร์ OCaml สัญญานี้
ทำหน้าที่สองวัตถุประสงค์: มันอย่างชัดเจนอธิบายถึงสิ่งที่เกรด
ความต้องการที่จะดำเนินการอย่างถูกต้องและก็ยังมีการค้ำประกัน
เกี่ยวกับสิ่งที่อาจจะทำคะแนนเมื่อเรียก ได้รับสัญญานี้
ผู้ใช้สามารถมั่นใจได้ว่าเกรดตอบสนองการรักษาความปลอดภัย
ความต้องการอธิบายไว้ข้างต้นแม้ว่าคะแนน
จะรวบรวมและรันโค้ดนักเรียนส่ง โดยเฉพาะ:
เกรดจะไม่อ่านส่งนักเรียนอื่น ๆ ของ;
เกรดจะได้ติดต่อสื่อสารผ่านเครือข่าย (ตามที่
มันมีความสามารถในการเข้าถึงเครือข่ายไม่มี); เกรดจะไม่
เสียหายชุดทดสอบหรือเขียนไฟล์อื่น ๆ กว่าใด ๆ
เข้าสู่ระบบเกรดและไดเรกทอรีจะสร้างภายในทำงาน
ไดเรกทอรี การดำเนินงานของชั้นประถมศึกษาปี (ไม่แสดง)
มุ่งเน้นที่ฟังก์ชั่นสำหรับการจัดลำดับและไม่ได้
เกี่ยวข้องกับการบังคับใช้ข้อกำหนดด้านความปลอดภัย
นโยบาย:. ความสามารถในภาษาระดับและสัญญา
สคริปต์ SHILL เข้าถึงทรัพยากรระบบเพียงผ่านความสามารถ:
ราชสกุล unforgeable ที่มอบสิทธิประโยชน์
ทรัพยากร สคริปต์ SHILL ได้รับความสามารถเฉพาะจาก
Invoker สคริปต์; สคริปต์ SHILL ไม่สามารถจัดเก็บหรือโดยพลการ
สร้างความสามารถในการ นอกจากนี้ SHILL ใช้ capabilitybased
เรียงรายในการควบคุมการดำเนินการของพล
ซอฟแวร์ ดังนั้นความสามารถในการที่ผู้ใช้ผ่านไปยัง
สคริปต์ SHILL จำกัด อำนาจของสคริปต์รวมถึง
โปรแกรมมันจะเรียก สัญญา SHILL ของระบุสิ่งที่ความสามารถในการ
สคริปต์ต้องและวิธีการที่มันตั้งใจที่จะใช้พวกเขา.
Runtime SHILL และเรียงรายบังคับใช้สัญญาเหล่านี้
พวกเขาจึงทำหน้าที่เป็นที่ละเอียดแสดงออกเปิดเผย
นโยบายการรักษาความปลอดภัยที่ถูกผูกไว้กับผลกระทบของสคริปต์.
ตัวอย่างเช่นรูปที่ 1 แสดงให้เห็นว่าการทำสัญญา SHILL สำหรับ
สคริปต์เพื่อเกรด A ส่งนักเรียนเดียว (ตรง
ไปยังสคริปต์ grade.sh ที่อธิบายข้างต้น) มันเป็น
สเปคการรักษาความปลอดภัยเปิดเผยเกรดฟังก์ชั่น
ที่ใช้เวลา 5 ข้อโต้แย้ง: ส่งไฟล์แบบอ่านอย่างเดียว
(เช่นรหัสที่มาของนักเรียน) อ่านอย่างเดียวไดเรกทอรี
ทดสอบ (ที่มีชุดทดสอบ) ซึ่งเป็น directory "ทำงาน"
ใน ซึ่งสคริปต์อาจสร้างไดเรกทอรีย่อยที่เต็มไปด้วย
สิทธิพิเศษในการเข้าสู่ระบบเกรดไฟล์ที่เขียนลงไฟล์สำหรับการบันทึก
การเรียนของนักเรียนและ "กระเป๋าสตางค์" ที่ให้เพียงพอ
ความสามารถในการเรียกใช้คอมไพเลอร์ OCaml สัญญานี้
ทำหน้าที่สองวัตถุประสงค์: มันอย่างชัดเจนอธิบายถึงสิ่งที่เกรด
ความต้องการที่จะดำเนินการอย่างถูกต้องและก็ยังมีการค้ำประกัน
เกี่ยวกับสิ่งที่อาจจะทำคะแนนเมื่อเรียก ได้รับสัญญานี้
ผู้ใช้สามารถมั่นใจได้ว่าเกรดตอบสนองการรักษาความปลอดภัย
ความต้องการอธิบายไว้ข้างต้นแม้ว่าคะแนน
จะรวบรวมและรันโค้ดนักเรียนส่ง โดยเฉพาะ:
เกรดจะไม่อ่านส่งนักเรียนอื่น ๆ ของ;
เกรดจะได้ติดต่อสื่อสารผ่านเครือข่าย (ตามที่
มันมีความสามารถในการเข้าถึงเครือข่ายไม่มี); เกรดจะไม่
เสียหายชุดทดสอบหรือเขียนไฟล์อื่น ๆ กว่าใด ๆ
เข้าสู่ระบบเกรดและไดเรกทอรีจะสร้างภายในทำงาน
ไดเรกทอรี การดำเนินงานของชั้นประถมศึกษาปี (ไม่แสดง)
มุ่งเน้นที่ฟังก์ชั่นสำหรับการจัดลำดับและไม่ได้
เกี่ยวข้องกับการบังคับใช้ข้อกำหนดด้านความปลอดภัย
การแปล กรุณารอสักครู่..
สองคุณสมบัติที่สำคัญช่วยปั่นราคาของคำประกาศการรักษาความปลอดภัยนโยบาย : ระดับภาษาความสามารถและสัญญาระบบการเข้าถึงทรัพยากรผ่านสคริปต์ปั่นราคาเท่านั้น ) :unforgeable สัญญาณที่มอบสิทธิพิเศษในทรัพยากร สคริปต์ปั่นราคาได้รับความสามารถเฉพาะจากสคริปนโวคเกอร์ ; สคริปต์ปั่นราคาไม่สามารถเก็บหรือโดยพลการสร้างความสามารถในการ นอกจากนี้ การใช้ capabilitybased ปั่นราคาsandboxes เพื่อควบคุมการเปิดซอฟต์แวร์ ดังนั้น ความสามารถที่ผู้ใช้ผ่านเป็นจำกัดอำนาจของสคริปต์สคริปต์ปั่นราคา รวมถึงโปรแกรมก็จะเรียก . สัญญาระบุว่า ความสามารถในการปั่นราคาของสคริปต์ต้องใช้และวิธีการที่มันตั้งใจจะใช้พวกเขาRuntime ปั่นราคาและ sandboxes บังคับใช้สัญญาเหล่านี้ดังนั้นพวกเขาเป็นอย่างละเอียด , การแสดง , การประกาศนโยบายความปลอดภัยที่เชื่อมต่อบทตัวอย่าง รูปที่ 1 แสดงปั่นราคาสัญญาสำหรับสคริปต์เพื่อส่งนักเรียนที่เกรดเดี่ยวการ grade.sh สคริปต์ที่อธิบายข้างต้น ) มันคือการจัดเก็บข้อมูลสำหรับฟังก์ชันเกรดซึ่งใช้เวลา 5 เหตุผล : การส่งไฟล์แบบอ่านอย่างเดียว( เช่น เป็นนักศึกษารหัสแหล่งที่มา ) , ไดเรกทอรีอ่านอย่างเดียวทดสอบ ( ประกอบด้วยชุดทดสอบ ) , " ไดเรกทอรีทำงาน "ซึ่งในสคริปต์อาจสร้างย่อยกับเต็มสิทธิพิเศษ , เขียนได้เกรดแฟ้มบันทึกสำหรับการบันทึกเกรดของนักเรียน และ " เงิน " ที่ให้เพียงพอความสามารถในการเรียกใช้ ocaml ผู้แปล สัญญาฉบับนี้ให้บริการสองวัตถุประสงค์ : มันอธิบายเกรดอะไรต้องดำเนินการอย่างถูกต้อง และยังให้การรับประกันเรื่องอะไร ชั้นจะทำเมื่อเรียก . ให้สัญญาผู้ใช้สามารถมั่นใจได้ว่าระบบรักษาความปลอดภัยเกรดความต้องการที่อธิบายข้างต้น แม้เกรดจะคอมไพล์และรันนักเรียนส่งรหัส โดยเฉพาะ :ชั้นจะอ่านของนักเรียนที่ส่งอื่น ๆ ;ชั้นจะไม่ติดต่อผ่านเครือข่าย ( เป็นมันไม่มีความสามารถในการเข้าถึงเครือข่าย ) ; เกรดจะไม่ทุจริตชุดทดสอบหรือเขียนไฟล์ใด ๆอื่น ๆ กว่าเกรดเข้าสู่ระบบและย่อยมันสร้างภายในงานไดเรกทอรี ใช้เกรด ( ไม่แสดง )มุ่งเน้น แต่เพียงผู้เดียวในการทำงานสำหรับการให้คะแนน และไม่ได้ที่เกี่ยวข้องกับการบังคับใช้ข้อกำหนดด้านความปลอดภัย
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- งั้นฉันขอตัวก่อนนะ ฉันจะทำการบ้าน
- กดปุ่ม
- Woven fabrics pattern you choose to buy
- the servey found that the test consisted
- I thought Jennifer's brother Richard was
- we have invested a lot of money by makin
- ดังนั้น
- เรียน จีเอ็ม เนื่องด้วยทางแผนกบัญชีจะทำก
- But something not enoug
- No thank you,I feeling thoughtful
- Proposal for Facilities Monitoring & Con
- มีความคล้ายคลึงกัน
- Immunotoxicological Evaluation of Geneti
- Complete the shape sequences. Use colour
- ศึกษาร่วมกันครั้งสุดท้ายของพวกเรา
- เราได้ลงทุนทำ smart book ด้วยเงินจำนวนมา
- คู่สมรส ชื่อ
- แข็งแกร่ง
- ฉันเพิ่งเห็นประโยคนี้
- สกรีน
- The agreement is a screen.
- The full account of how he robbed the co
- Spare parts of machinery
- ฉันขอถ้วยคืน
