La sandbox permet d'exécuter du code de manière isolée. "Vous ne souhaitez pas exécuter un code non fiable directement sur votre serveur au risque de compromettre votre système, dérober des clés API ? L'isolation est la solution" argumente Deno.

Deno Sandbox fournit des microVM Linux légères (hébergées dans le cloud Deno Deploy) pour y exécuter du code non vérifié ou tout code de votre choix. Selon Deno, une sandbox démarre en -1 seconde. La connexion se fait en SSH ou HTTP ou via VS Code. 

import { Sandbox } from "@deno/sandbox";

await using sandbox = await Sandbox.create();

await sandbox.sh`ls -lh /`;

Autre détail : les secrets ne sont pas enregistrés dans l'environnement. Par exemple, la vrai clé API est matérialisée uniquement quand la sandbox effectue une requête sortante vers un hôte autorisé. Une injection de code qui tenterait d'exfiltrer des données de la sandbox vers un site illicite n'est pas possible, la sandbox bloquerait. Toute requête vers un hôte non listé sera rejetée. "Si vous exécutez du JavaScript ou du TypeScript non fiable, combinez cela avec l'option `--allow-net` de Deno pour une protection renforcée : restrictions réseau au niveau de la machine virtuelle et autorisations au niveau de l'exécution." explique Deno.

Vous pouvez déployer directement un projet en production dans la sandbox : sandbox.deploy(). Par défaut, une sandbox est éphémère mais il est possible d'en conserver un état.  "Exécutez `apt-get install` une seule fois, créez un instantané, et chaque sandbox démarrera automatiquement avec tous les logiciels déjà installés. Créez des volumes en lecture-écriture à partir des instantanés pour déployer un nouvel environnement de développement en quelques secondes." explique Deno. 

Un sandbox c'est : 

- hébergement : région Amsterdam, région Chicago

- 2 vCPU

- mémoire : 768 Mo à 4 Go

- vie maximale : 30 minutes

- boot : < 1 seconde

Deno Sandbox est inclus dans les plans Deno Deploy. Vous pouvez au temps d'utilisation. 

Annonce : https://deno.com/blog/introducing-deno-sandbox