沙箱是安全领域的重要技术方向之一。Linux中虽然有众多的沙箱原语（比如seccomp、ptrace）和沙箱方案（比如nsjail、firejail等），但是这些方案都有很多各自的缺点，典型的比如seecomp配置规则负责、沙箱与被沙箱进程共享内核等。

一个理想的沙箱方案需要具备易用、强隔离、对被沙箱进程的完整观测等特点。为了满足内部对沙箱的需求，我们基于gVisor构建一款沙箱。该沙箱最大的特点是将进程运行在了一个受限的虚拟机中，但是其使用以及输入输出跟普通进程无异。在进程虚拟机之上，我们构建了沙箱的安全策略系统，用来限制被沙箱进程的资源访问。

本议题的基本主题如下：

• Linux下的沙箱原语以及常用沙箱方案

• gVisor介绍

• 如何构建基于gVisor的进程级沙箱

• 沙箱案例

• 进程级沙箱的未来