Песочница для исполнения Python-кода Офлайн 2021
Доклад отклонён
Тезисы
У нас в Яндексе существует сервис, который берёт на себя управление доступами в других сервисах. Подключаемых систем много (~300), поэтому важна гибкость в настройке подтверждения доступов.
Пользовательский Python-код, используя доступ к внутренним API, конфигурирует различные сценарии подтверждения. Мы спроектировали и реализовали систему на основе контейнеризации, которая исполняет его в изолированной песочнице.
В докладе я расскажу об аспектах безопасности и производительности исполнения недоверенного кода в контейнерах и опишу механизм доступа к внешним объектам и вызова API изнутри контейнера.