Tengo ganas de comenzar a permitir que las personas creen aplicaciones Electron en mi infraestructura de nube.
En Linux, la seguridad que estoy empleando es con los contenedores Docker desechables. Sé que no es 100% seguro, pero es mejor que simplemente ejecutarlos en alguna carpeta.
Ahora, estoy ofreciendo la oportunidad de construir en una Mac. Debe estar dentro del sistema operativo, ya que la compilación se basa en el paquete hdiutil .
El problema es que, en Mac, no sé cómo bloquear a un usuario en una carpeta básicamente sin permisos, excepto para ejecutar el instalador. El entorno también debería limpiarse entre cada compilación.
¿Cómo hago para ejecutar un comando con un usuario sin privilegios, asegurando que el script no pueda salir de la carpeta en cuestión? Busqué en las raíces encarceladas, pero me pregunté si esta era la forma más adecuada de hacerlo.
También busqué en la virtualización, pero inicialmente solo tendré un servidor Linux virtualizado para hacer esto, ya que tener instancias OSX virtualizadas allí también podría no ser posible en la primera instancia. Ni siquiera estoy seguro de si es legal virtualizar OSX para un servicio.
También he visto un método descrito aquí:
¿Es esta una buena idea?
Sólo un aviso, el comando de compilación es en realidad un "bin" de Node.js, ejecutado de esta manera:
$(pwd)/node_modules/.bin/build -m