Daleko radeji nez tyhle srandy kolem open/read/write/close bych videl unifikovany system sync/async notifikaci userspacu o syscallech (nebo rodinach syscallu), tak ze by se dal kazdy proces snadno a ciste hlidat podle dynamicke politiky. Nejen ze by se tim dal hlidat malware (misto init[1] spustim nejprve AV, fork()nu, nastavim childem watch na parentovi forky a IO syscally, parent execne init, sleduji vse...), nebo sandbox pro `make DESTDIR=... install` ktery ciste ohlida jestli proces a jeho childi pisi jen tam, kam smi...). Zkratka spousta moznosti.