Capsicum is a lightweight OS capability and sandbox framework. UNIXやWindowsの基本的なセキュリティモデルはDAC(Discretionary Access Control, 任意アクセス制御)かMAC(Mandatory Access Control, 強制アクセス制御)に分類できる。DACは自分でアクセス権限を設定することができるもので、自分をほかのユーザからプロテクトする用途に向いている。DACは管理者がアクセス権限を設定しユーザは変更できない。強力なアクセス制御をしたい場合に向いている。 DACとMACはファイルやプロセス単位での制御になっているため、プロセスの中でいくつもの異なる処理をするようなケースにおけるアクセス制御には向いていない。たとえば古いFirefoxのようにすべての処理を単一プロセスでこなしてい