вообще добавление криптографической подписи к elf файлу должно помочь от загрузки недоверенных бинарей: сначала проверяем подпись, если она не сходится - сразу отбрасываем дальнейший парсинг.
А по поводу отдельного линтера: да, с точки зрения секьюрити лучше выносить эту активность в отдельное адресное пространство (процесс), тем самым сокращая поверхность атаки для основного elf загрузчика.
Особо не работал с таким, а там, получается, полноценная виртуализация для изоляции используется?
вообще добавление криптографической подписи к elf файлу должно помочь от загрузки недоверенных бинарей: сначала проверяем подпись, если она не сходится - сразу отбрасываем дальнейший парсинг.
А по поводу отдельного линтера: да, с точки зрения секьюрити лучше выносить эту активность в отдельное адресное пространство (процесс), тем самым сокращая поверхность атаки для основного elf загрузчика.