macOS应用程序运行策略的创建方法、装置、设备及介质与流程

macos应用程序运行策略的创建方法、装置、设备及介质
技术领域
1.本发明涉及计算机技术领域，特别涉及一种macos应用程序运行策略的创建方法、装置、设备及介质。


背景技术：

2.随着公司不断的发展壮大，公司内部各种资料的保密性愈发重要。但是大部分的公司办公的电脑都没有办法完全杜绝资料的下载或者传输，一旦涉及到相对敏感的资料的泄露将会对公司造成巨大的损失。
3.为此，不同公司的如何基于自身情况进行应用程序的自定义配置，并提高应用程序运行的安全性，从而避免敏感信息的泄露是本领域亟待解决的问题。


技术实现要素：

4.有鉴于此，本发明的目的在于提供一种macos应用程序运行策略的创建方法、装置、设备及介质，使得不同公司能够基于自身情况进行应用程序的自定义配置，并提高应用程序运行的安全性，从而避免敏感信息的泄露，其具体方案如下：
5.第一方面，本技术公开了一种macos应用程序运行策略的创建方法，包括：
6.在配置文件中设定目标应用程序的使用权限，得到目标文件；
7.基于沙盒机制以及所述目标文件编写脚本文件，并对所述脚本文件进行相应操作后得到第一可执行程序，然后将所述第一可执行程序重命名为所述目标应用程序对应的初始可执行程序；
8.将所述目标文件以及当前所述初始可执行程序保存至所述目标应用程序所在目录，以完成所述目标应用程序运行策略的创建。
9.可选的，所述在配置文件中设定目标应用程序的使用权限，包括：
10.在配置文件中设定目标应用程序的网络访问权限以及文件读写权限。
11.可选的，所述对所述脚本文件进行相应操作后得到可执行程序，包括：
12.为所述脚本文件分配可执行权限得到可执行程序。
13.可选的，所述为所述脚本文件分配可执行权限得到可执行程序，包括：
14.通过macos中的chmod777命令，为所述脚本文件分配可执行权限得到可执行程序。
15.可选的，所述基于沙盒机制以及所述目标文件编写脚本文件之前，还包括：
16.从所述目标应用程序所在目录确定出所述目标应用程序对应的初始可执行程序；
17.将所述目标应用程序对应的所述初始可执行程序命名为第二可执行程序。
18.可选的，所述基于沙盒机制以及所述目标文件编写脚本文件，包括：
19.基于沙盒机制、所述目标文件以及所述第二可执行程序编写脚本文件。
20.可选的，所述将所述目标文件以及当前所述可执行程序保存至所述目标应用程序所在目录之后，还包括：
21.当接收到针对所述目标应用程序的启动指令，则调用所述目标应用程序所在目录
中的当前所述初始可执行程序，以使所述目标应用程序按照所述目标文件中定义的使用权限，在沙盒中运行。
22.第二方面，本技术公开了一种macos应用程序运行策略的创建装置，包括：
23.权限配置模块，用于在配置文件中设定目标应用程序的使用权限，得到目标文件；
24.脚本文件编写模块，用于基于沙盒机制以及所述目标文件编写脚本文件；
25.可执行程序处理模块，用于对所述脚本文件进行相应操作后得到第一可执行程序，然后将所述第一可执行程序重命名为所述目标应用程序对应的初始可执行程序；
26.文件及可执行程序保存模块，用于将所述目标文件以及当前所述初始可执行程序保存至所述目标应用程序所在目录，以完成所述目标应用程序运行策略的创建。
27.第三方面，本技术公开了一种电子设备，包括：
28.存储器，用于保存计算机程序；
29.处理器，用于执行所述计算机程序，以实现前述公开的macos应用程序运行策略的创建方法。
30.第四方面，本技术公开了一种计算机可读存储介质，用于保存计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的macos应用程序运行策略的创建方法。
31.可见，本技术提出一种macos应用程序运行策略的创建方法，包括：在配置文件中设定目标应用程序的使用权限，得到目标文件；基于沙盒机制以及所述目标文件编写脚本文件，并对所述脚本文件进行相应操作后得到第一可执行程序，然后将所述第一可执行程序重命名为所述目标应用程序对应的初始可执行程序；将所述目标文件以及当前所述初始可执行程序保存至所述目标应用程序所在目录，以完成所述目标应用程序运行策略的创建。综上可见，本技术根据实际需求设定应用程序的使用权限，并且本技术基于沙盒机制及目标文件编写脚本文件，然后基于脚本文件得到第一可执行程序，并将第一可执行文件重命名为应用程序的初始可执行程序，使得应用程序被启动后，能够按照自定义的使用权限在沙盒中运行，提高了应用程序运行的安全性。此外，本技术提供的一种macos应用程序运行策略的创建装置、设备及存储介质，与上述macos应用程序运行策略的创建方法对应，效果同上。
附图说明
32.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
33.图1为本技术公开的一种macos应用程序运行策略的创建方法流程图；
34.图2为本技术公开的一种具体的macos应用程序运行策略的创建方法流程图；
35.图3为本技术公开的一种macos应用程序运行策略的创建装置结构示意图；
36.图4为本技术公开的一种电子设备结构图。
具体实施方式
37.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完
整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
38.随着公司不断的发展壮大，公司内部各种资料的保密性愈发重要。但是大部分的公司办公的电脑都没有办法完全杜绝资料的下载或者传输，一旦涉及到相对敏感的资料的泄露将会对公司造成巨大的损失。
39.为此，本技术实施例提出一种macos应用程序运行策略的创建方案，能够使得不同公司能够基于自身情况进行应用程序的自定义配置，并提高应用程序运行的安全性，从而避免敏感信息的泄露。
40.本技术实施例公开了一种macos应用程序运行策略的创建方法，参见图1所示，该方法包括：
41.步骤s11：在配置文件中设定目标应用程序的使用权限，得到目标文件。
42.需要指出的是，macos系统自带大量的.sb策略文件，也即配置文件，macos在运行的过程中通过这些配置文件阻挡某些不信任的应用程序，如此一来，能够保证系统的正常运行。
43.本实施例中，在配置文件中，根据实际需求设定应用程序的使用权限，得到目标文件。
44.步骤s12：基于沙盒机制以及所述目标文件编写脚本文件，并对所述脚本文件进行相应操作后得到第一可执行程序，然后将所述第一可执行程序重命名为所述目标应用程序对应的初始可执行程序。
45.本实施例中，在确定出所述目标文件后，首先从所述目标应用程序所在目录确定出所述目标应用程序对应的初始可执行程序，并将所述目标应用程序对应的所述初始可执行程序命名为第二可执行程序，然后基于沙盒机制、所述目标文件以及所述第二可执行程序编写脚本文件，并对所述脚本文件进行相应操作后得到第一可执行程序，然后将所述第一可执行程序重命名为所述目标应用程序对应的初始可执行程序。
46.需要指出的是，对所述脚本文件进行相应操作后得到第一可执行程序，具体是指为所述脚本文件分配可执行权限得到可执行程序，本实施例中，具体可以通过macos中的chmod777命令，为所述脚本文件分配可执行权限得到可执行程序。
47.步骤s13：将所述目标文件以及当前所述初始可执行程序保存至所述目标应用程序所在目录，以完成所述目标应用程序运行策略的创建。
48.本实施例中，在得到第一可执行程序，并将所述第一可执行程序重命名为所述目标应用程序对应的初始可执行程序后，将所述目标文件以及当前所述初始可执行程序保存至所述目标应用程序所在目录，进一步的，当接收到针对所述目标应用程序的启动指令，则调用所述目标应用程序所在目录中的当前所述初始可执行程序，以使所述目标应用程序按照所述目标文件中定义的使用权限，在沙盒中运行。
49.可见，本技术提出一种macos应用程序运行策略的创建方法，包括：在配置文件中设定目标应用程序的使用权限，得到目标文件；基于沙盒机制以及所述目标文件编写脚本文件，并对所述脚本文件进行相应操作后得到第一可执行程序，然后将所述第一可执行程序重命名为所述目标应用程序对应的初始可执行程序；将所述目标文件以及当前所述初始
可执行程序保存至所述目标应用程序所在目录，以完成所述目标应用程序运行策略的创建。综上可见，本技术根据实际需求设定应用程序的使用权限，并且本技术基于沙盒机制及目标文件编写脚本文件，然后基于脚本文件得到第一可执行程序，并将第一可执行文件重命名为应用程序的初始可执行程序，使得应用程序被启动后，能够按照自定义的使用权限在沙盒中运行，提高了应用程序运行的安全性。此外，本技术提供的一种macos应用程序运行策略的创建装置、设备及存储介质，与上述macos应用程序运行策略的创建方法对应，效果同上。
50.本技术实施例公开了一种具体的macos应用程序运行策略的创建方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。参见图2所示，具体包括：
51.步骤s21：在配置文件中设定目标应用程序的网络访问权限以及文件读写权限，得到目标文件。
52.本实施例中，设定目标应用程序的网络访问权限具体包括：设定目标应用程序允许访问网络或设定目标应用程序禁止访问网络；设定目标应用程序的文件读写权限具体包括：设定目标应用程序允许程序本身写或禁止程序本身写文件，允许程序本身读或禁止程序本身读文件。
53.步骤s22：基于沙盒机制以及所述目标文件编写脚本文件，并对所述脚本文件进行相应操作后得到第一可执行程序，然后将所述第一可执行程序重命名为所述目标应用程序对应的初始可执行程序。
54.其中，关于步骤s22更加具体的工作过程，参见前述公开的实施例所述，在此不做具体赘述。
55.步骤s23：将所述目标文件以及当前所述初始可执行程序保存至所述目标应用程序所在目录，以完成所述目标应用程序运行策略的创建。
56.其中，关于步骤s23更加具体的工作过程，参见前述公开的实施例所述，在此不做具体赘述。
57.可见，本技术提出一种macos应用程序运行策略的创建方法，包括：在配置文件中设定目标应用程序的网络访问权限以及文件读写权限，得到目标文件；基于沙盒机制以及所述目标文件编写脚本文件，并对所述脚本文件进行相应操作后得到第一可执行程序，然后将所述第一可执行程序重命名为所述目标应用程序对应的初始可执行程序；将所述目标文件以及当前所述初始可执行程序保存至所述目标应用程序所在目录，以完成所述目标应用程序运行策略的创建，综上可见，本技术根据实际需求设定应用程序的网络访问权限以及读写权限，并且本技术基于沙盒机制及目标文件编写脚本文件，然后基于脚本文件得到第一可执行程序，并将第一可执行文件重命名为应用程序的初始可执行程序，使得应用程序被启动后，能够按照自定义的网络访问权限以及读写权限在沙盒中运行，提高了应用程序运行的安全性。此外，本技术提供的一种macos应用程序运行策略的创建装置、设备及存储介质，与上述macos应用程序运行策略的创建方法对应，效果同上。
58.在一种具体的实施方式中，本技术具体能够包括以下内容：
59.(1)首先准备mac电脑以及flow.sb策略文件(配置文件)；
60.(2)在策略文件中新增规则，策略文件的编写可以根据实际情况，可以通过allow file-write*来允许程序本身写文件，读文件同理，反之如果是deny file-write*则是不允
许程序写入文件；
61.(3)allow-network*表示允许程序访问网络，deny则反之；
62.(4)保存策略文件，以chrome浏览器举例，打开mac电脑中的finder，通过应用程序找到chrome浏览器，右键选择显示包内容，进入目录contents/macos(macos系统所有应用程序目录都遵循该结构)，然后找到google chrome可执行程序，将其重命名为google chrome2；
63.(5)新建文件，写入以下代码：
64.#！/bin/sh
65.set-e
66.script_dir＝"$(cd"$(dirname"${bash_source[0]}")"》/dev/null2》&1&&pwd)"
[0067]
cd"${script_dir}"
[0068]
sandbox-exec-f"flow.sb"./google chrome2
[0069]
保存文件后并重命名为google chrome，通过chmod 777给该文件可执行权限，得到可执行程序；上述脚本含义是通过sandbox-exec匹配前面配置好的flow.sb文件，并通过沙盒化启动google chrome；
[0070]
(6)将重命名后得到的google chrome可执行程序放入google chrome/contents/macos目录下，并将前面写好的flow.sb文件也放入该文件夹内。
[0071]
综上可见，本技术根据实际需求设定应用程序的网络访问权限以及读写权限，并且基于沙盒机制及权限的策略文件编写脚本文件，然后基于脚本文件得到新的可执行程序，并将新的可执行文件重命名为应用程序的初始可执行程序，然后保存至应用程序所在目录，如此一来，点击应用图标启动chrome浏览器，首先会调用到本技术重新生成的google chrome可执行程序，可执行程序会通过sandbox-exec命令匹配.sb规则文件，使得应用程序被启动后，能够按照自定义的使用权限在沙盒中运行，提高了应用程序运行的安全性。
[0072]
本技术中，将上述操作封装到一个全新的应用程序中去，然后给公司内部的员工分发安装到各自的电脑上，当程序启动的时候就根据以上步骤去自动修改可执行程序并生成新的规则文件，对于公司来说可以限制公司内部的网络或者特定的应用不能下载文件或者上传数据等，当程序退出的时候可以恢复至初始化状态，对员工的电脑和程序并不会造成任何应用，对于操作系统本身也不会有任何的问题。
[0073]
相应的，本技术实施例还公开了一种macos应用程序运行策略的创建装置，参见图3所示，该装置包括：
[0074]
权限配置模块11，用于在配置文件中设定目标应用程序的使用权限，得到目标文件；
[0075]
脚本文件编写模块12，用于基于沙盒机制以及所述目标文件编写脚本文件；
[0076]
可执行程序处理模块13，用于对所述脚本文件进行相应操作后得到第一可执行程序，然后将所述第一可执行程序重命名为所述目标应用程序对应的初始可执行程序；
[0077]
文件及可执行程序保存模块14，用于将所述目标文件以及当前所述初始可执行程序保存至所述目标应用程序所在目录，以完成所述目标应用程序运行策略的创建。
[0078]
可见，本技术提出一种macos应用程序运行策略的创建装置，包括：权限配置模块，用于在配置文件中设定目标应用程序的使用权限，得到目标文件；脚本文件编写模块，用于
基于沙盒机制以及所述目标文件编写脚本文件，可执行程序处理模块，用于并对所述脚本文件进行相应操作后得到第一可执行程序，然后将所述第一可执行程序重命名为所述目标应用程序对应的初始可执行程序；文件及可执行程序保存模块，用于将所述目标文件以及当前所述初始可执行程序保存至所述目标应用程序所在目录，以完成所述目标应用程序运行策略的创建。综上可见，本技术根据实际需求设定应用程序的使用权限，并且本技术基于沙盒机制及目标文件编写脚本文件，然后基于脚本文件得到第一可执行程序，并将第一可执行文件重命名为应用程序的初始可执行程序，使得应用程序被启动后，能够按照自定义的使用权限在沙盒中运行，提高了应用程序运行的安全性。
[0079]
在一些实施例中，所述权限配置模块11，具体包括：
[0080]
权限配置单元，用于在配置文件中设定目标应用程序的网络访问权限以及文件读写权限。
[0081]
在一些实施例中，所述可执行程序处理模块13，具体包括：
[0082]
执行权限分配单元，用于为所述脚本文件分配可执行权限得到可执行程序。
[0083]
在一些实施例中，所述执行权限分配单元，具体用于：
[0084]
通过macos中的chmod777命令，为所述脚本文件分配可执行权限得到可执行程序。
[0085]
在一些实施例中，所述脚本文件编写模块12之前，还包括：
[0086]
初始可执行程序确定单元，用于从所述目标应用程序所在目录确定出所述目标应用程序对应的初始可执行程序；
[0087]
重命名单元，用于将所述目标应用程序对应的所述初始可执行程序命名为第二可执行程序。
[0088]
在一些实施例中，所述脚本文件编写模块12，具体还可以包括：
[0089]
脚本文件编写单元，用于基于沙盒机制、所述目标文件以及所述第二可执行程序编写脚本文件。
[0090]
在一些实施例中，所述文件及可执行程序保存模块14之后，还可以包括：
[0091]
目标应用程序调用单元，用于当接收到针对所述目标应用程序的启动指令，则调用所述目标应用程序所在目录中的当前所述初始可执行程序，以使所述目标应用程序按照所述目标文件中定义的使用权限，在沙盒中运行。
[0092]
进一步的，本技术实施例还提供了一种电子设备。图4是根据一示例性实施例示出的电子设备20结构图，图中的内容不能认为是对本技术的使用范围的任何限制。
[0093]
图4为本技术实施例提供的一种电子设备20的结构示意图。该电子设备20，具体可以包括：至少一个处理器21、至少一个存储器22、显示屏23、输入输出接口24、通信接口25、电源26和通信总线27。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现以下步骤：
[0094]
在配置文件中设定目标应用程序的使用权限，得到目标文件；
[0095]
基于沙盒机制以及所述目标文件编写脚本文件，并对所述脚本文件进行相应操作后得到第一可执行程序，然后将所述第一可执行程序重命名为所述目标应用程序对应的初始可执行程序；
[0096]
将所述目标文件以及当前所述初始可执行程序保存至所述目标应用程序所在目录，以完成所述目标应用程序运行策略的创建。
[0097]
在一些具体实施方式中，所述处理器通过执行所述存储器中保存的计算机程序，具体可以实现以下步骤：
[0098]
在配置文件中设定目标应用程序的网络访问权限以及文件读写权限。
[0099]
在一些具体实施方式中，所述处理器通过执行所述存储器中保存的计算机程序，具体可以实现以下步骤：
[0100]
为所述脚本文件分配可执行权限得到可执行程序。
[0101]
在一些具体实施方式中，所述处理器通过执行所述存储器中保存的计算机程序，具体可以实现以下步骤：
[0102]
通过macos中的chmod777命令，为所述脚本文件分配可执行权限得到可执行程序。
[0103]
在一些具体实施方式中，所述处理器通过执行所述存储器中保存的计算机程序，进一步还可以实现以下步骤：
[0104]
从所述目标应用程序所在目录确定出所述目标应用程序对应的初始可执行程序；
[0105]
将所述目标应用程序对应的所述初始可执行程序命名为第二可执行程序。
[0106]
在一些具体实施方式中，所述处理器通过执行所述存储器中保存的计算机程序，具体可以实现以下步骤：
[0107]
基于沙盒机制、所述目标文件以及所述第二可执行程序编写脚本文件。
[0108]
在一些具体实施方式中，所述处理器通过执行所述存储器中保存的计算机程序，进一步还可以实现以下步骤：
[0109]
当接收到针对所述目标应用程序的启动指令，则调用所述目标应用程序所在目录中的当前所述初始可执行程序，以使所述目标应用程序按照所述目标文件中定义的使用权限，在沙盒中运行。
[0110]
本实施例中，电源26用于为电子设备20上的各硬件设备提供工作电压；通信接口25能够为电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口24，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。
[0111]
另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源可以包括计算机程序221，存储方式可以是短暂存储或者永久存储。其中，计算机程序221除了包括能够用于完成前述任一实施例公开的由电子设备20执行的macos应用程序运行策略的创建方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。
[0112]
进一步的，本技术实施例还公开了一种计算机可读存储介质，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的macos应用程序运行策略的创建方法。
[0113]
关于该方法的具体步骤可以参考前述实施例中公开的相应内容，在此不再进行赘述。
[0114]
本技术书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说
明即可。
[0115]
专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
[0116]
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
[0117]
最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0118]
以上对本技术所提供的一种macos应用程序运行策略的创建方法、装置、设备、存储介质进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。