<div dir="auto">Hello,<div dir="auto"><br></div><div dir="auto">I disagree that Safe Haskell is a failed experiment, and I think with a little work could be a very valuable tool for auditing Haskell source code.</div><div dir="auto"><br></div><div dir="auto">The main change I think we should make is to completely remove the source code annotations, and instead expose an external mechanism (e.g. some sort of file) for specifying which potentially unsafe modules one trusts and which modules should be safe under those assumptions.  Then GHC can do the checking and inference just like now, and people can make their own safety configurations depending on the threat model.</div><div dir="auto"><br></div><div dir="auto">Iavor</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Dec 27, 2022, 17:08 Viktor Dukhovni <<a href="mailto:ietf-dane@dukhovni.org">ietf-dane@dukhovni.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Dec 27, 2022 at 09:39:22PM +0100, Hécate wrote:<br>
<br>
> I came across the nsjail system from Google a little while after posting <br>
> this thread: <a href="https://github.com/google/nsjail/#overview" rel="noreferrer noreferrer" target="_blank">https://github.com/google/nsjail/#overview</a><br>
<br>
Yes, this is the sort of thing that one can begin to trust, provided<br>
that the exposed capabalities are managed only by inclusion, all system<br>
calls, filesystem namespaces, network namespaces, ... that are not<br>
explicitly allowed are denied.<br>
<br>
> Perhaps we could get the most value for our buck if we externalise the<br>
> solution to work with OS-level mechanisms?  What do you think of that?<br>
> Something based upon eBPF would certainly incur less modifications to<br>
> the RTS?<br>
<br>
Indeed, it would be simpler to leverage existing virtualisation and/or<br>
containerisation technologies, than build a new microkernel within the<br>
RTS.  Consequently, I guess I am saying that "Safe Haskell" was an<br>
interesting research project, but may be a practical dead-end.<br>
<br>
-- <br>
    Viktor.<br>
_______________________________________________<br>
ghc-devs mailing list<br>
<a href="mailto:ghc-devs@haskell.org" target="_blank" rel="noreferrer">ghc-devs@haskell.org</a><br>
<a href="http://mail.haskell.org/cgi-bin/mailman/listinfo/ghc-devs" rel="noreferrer noreferrer" target="_blank">http://mail.haskell.org/cgi-bin/mailman/listinfo/ghc-devs</a><br>
</blockquote></div>