Durante le fasi src_unpack, src_compile, src_test e src_install, il programma ebuild.sh opera all'interno del sandbox. Questo è uno speciale ambiente che tenta di prevenire la cattiva stesura di ebuild che accidentalmente potrebbero scrivere al di fuori di locazioni permesse.
Tutti i pacchetti devono essere compilati correttamente quando il sandbox è attivo. I pacchetti non devono usare trucchi per non mostrare l'avvertimento di sandbox relativo alla violazione di accesso. Il sandbox è necessario per assicurare che i pacchetti binari funzionino correttamente e che un Makefile scritto in modo non corretto non causi problemi. L'uso di addwrite non è generalmente una soluzione corretta.
Vedere la Guida di riferimento alle funzioni del sandbox per i dettagli sulle funzioni collegate alla gestione del sandbox e Come gestire la violazione di accesso per suggerimenti su come risolvere problemi legati alla gestione del sandbox.