主要观点：CHERIoT ABI 和分区模型可精确审计各分区行为，但不易；cheriot-audit工具可用 Rego 语言编写策略，可检查任意 JSON 文档的属性，与构建图像的板描述文件等配合使用，能进行多种查询操作，如查看分区导出内容、提取分配器能力等，还可用于组合条件制定策略，如限制函数调用等，且链接器的 JSON 报告包含最终图像各节的预链接哈希，可用于确保二进制组件的安全性。
关键信息：

• cheriot-audit用 Rego 写策略，可检查 JSON 文档属性。
• 需命令行输入板描述文件等。
• 可查询分区导出、分配器能力等信息。
• 能通过组合条件制定策略，如限制函数调用和内存映射 I/O 区域访问。
• JSON 报告含最终图像各节预链接哈希，可用于确保二进制组件安全。
  重要细节：
• 简单查询可展示输入 JSON 片段，如查看check_pointer_test分区导出。
• 用export_entry_demangle函数可美化符号名。
• 可通过列表和集合理解构建集合，如提取分配器能力。
• 可通过调整理解生成数组并求和，如计算分配器总配额。
• 允许列表谓词可用于强制执行某些属性。
• cheriot-audit工具仍在发展中，可用于驱动代码签名决策。