有没有一个“安全”的Python子集可用作嵌入式脚本语言？

以下是一些链接，可以让您了解您所面临的情况：

• 如何安全地运行不受信任的Python脚本（即沙盒）
• Guido本人的Python能力？

还有一个死亡的Google代码项目在 http://code.google.com/p/sandbox-python/

如果你只需要设置简单变量、循环、条件和函数，那么PyMite VM就能胜任。 PyMite非常小巧，用C语言编写，使用静态内存池，并可嵌入。 它具有极为有限的内置函数集，易于配置。 同样，唯一的标准库是字符串、字典、列表和系统的部分实现。 PyMite VM是python-on-a-chip项目的一部分，因此它被设计用于微控制器上运行，但也可以在类Unix桌面系统上运行。 缺点是PyMite没有其他Python实现那样经过完善的调试。

pypy项目提供沙盒功能，请参见http://doc.pypy.org/en/latest/sandbox.html。

目前没有一种“安全”的Python生产级子集。Python曾经有过一些沙盒模块，但由于其缺陷而被弃用。

你最好的选择是要么创建自己的解析器，要么使用系统调用钩子和受限账户来隔离Python进程。

有些人可能会指向PyPy，但它还未完成。

tinypy (tinypy.org) 是一种小型、可嵌入的 Python 子集，采用 Lua 风格编写。由于 Lua 有创建沙盒的方式，我估计 tinypy 可以沿着同样的思路被黑客攻击。由于 tinypy 的代码库非常小，因此很容易学习并找出如何改变事物以适应您的需求。

警告

在Python 2.3中，由于存在各种已知且难以修复的安全漏洞，这些模块已被禁用。这里仍然记录这些模块，以帮助阅读使用rexec和Bastion模块的旧代码。

Starlark 是在 Go 语言中实现的 Python 子集。

它被 Google 用作 Bazel 构建工具的配置语言。关于它的文档和细节非常少，但它可能符合要求。

你的意图有点难以理解——细节不够。

你是否正在托管本地应用程序并允许用户编写插件？考虑使用操作系统级别的解决方案，通过在监狱/ chroot /类似环境中运行Python应用程序作为单独的运行时进程，并通过套接字进行通信。

您是否希望客户托管本地应用程序并让“不受信任的方”编写插件？上述解决方案无法使用的原因是什么？（例如，客户希望在没有此类选项的奇怪操作系统上部署...）

您是否希望同一人托管本地应用程序和“不受信任的脚本”，并希望保护他们免受自己的影响？从保护他们免受编写“os.remove”并使其执行所编写内容的角度来看？您能解释一下原因吗？

你在“野外”中的本机代码同样容易受到此类攻击；它只是机器代码的速度障碍，而不是安全措施。

如果你非常偏执并想要更高的速度障碍，你可以使托管脚本实例的本机应用程序检查内容的哈希值。然后，意外更改是不可能的；只有故意更改才会费力更新校验和。你还可以进一步检查它们是否使用公钥签名；然后只有黑客攻击你的本机应用程序才能让新脚本进入。

但沙盒？别担心！

你可以尝试在Silverlight/Moonlight上使用IronPython，就像这些人所做的那样令人印象深刻。从Resolver One开发人员这里可以获得大量关于这些类型的IronPython应用程序的优秀信息。