java - 今天在 JVM 中最接近真正(资源受限)隔离的是什么？

Question

假设以下情况:

• 您有一个支持许多用户的大型复杂系统(分布式、并发、庞大的数据集)。代码被发送到数据。
• 您希望允许系统中的移动代码(即不受信任的代码与系统的其余部分在同一 JVM 中运行)利用数据的局部性，避免反序列化等。

您可以将代码放在一个有趣的类加载器中，并像 applet runner 一样使用自定义的安全策略。但是仍然存在问题:

应保护整个系统免受恶意代码的侵害 - 例如产生大量线程、耗尽所有 CPU、分配过多内存。

千禧年之初提出的想法是 JSR-121。 Isolates 旨在带来进程隔离的大部分好处 - 限制 cpu 使用、线程生成、堆使用:一般的资源分配。

鉴于这项工作似乎已被 Sun 放弃，我们目前能得到的最接近结果是什么？

到目前为止，我的想法是:

• 字节码翻译代码以插入分配跟踪。谷歌似乎做了类似的事情:http://code.google.com/p/java-allocation-instrumenter/ .它需要一些工作，因为谷歌 (Joshua) Bloch-ed 自己陷入了困境，并将各种东西打包为私有(private)......
• 同时禁止调用安全管理器不能调用的东西，例如线程创建。
• 将(罕见的)中断检查插入到循环和递归函数中，以便监视线程可以监视(使用 ThreadMXBean)，如果花费的时间太长，则中断有问题的线程。限制重入可能更简单——在对用户代码的任何调用中，基本 block 在中止之前只能输入 n 次。

有没有更好的或现有的方法来做到这一点？

Answer 1

这是一个复杂的问题。我的第一个想法是创建一种特定领域的语言来满足“移动”用户的需求。 DSL 将无法执行危险操作。

哪些人会上传不受信任的代码？这听起来像是一个可疑的想法。我们付出了很多努力来确保人们无法运行不受信任的代码 ;-)