Sandboxie si frappone tra il programma e il layer di storage. E' una soluzione simile ai namespace di Linux ( sfruttati da snappy e flatpak ) ma decisamente inferiore in quanto a funzionalità e sicurezza.
Inoltre le soluzioni di sandboxing Linux sfruttano seccomp-bpf ( per stabilire una whitelist di syscall che il processo utente è autorizzato ad effettuare ), squash per distribuire immagini in sola lettura dei programmi ( quindi non si può modificare l'eseguibile sul filesystem ), i namespace per limitare la capacità dei processi di vedere le risorse di sistema e grazie ai cgroups si possono implementare limitazioni sulle quote di risorse di sistema accessibili ( ad esempio si può impostare che un processo non possa usare più di 2GB di ram o il 10% di CPU ).
Sul fronte redhat/flatpak c'è in aggiunta OSTree, che consente l'implementazione di upgrade atomici, installazione di root parallele, rollback degli upgrade. Decisamente un pelino più complesso di sandboxie.
