Deno で -A(--allow-all) がもうカジュアルに使わている感じがするけど、自分は --allow-read 以外こまめに設定している。
outbound request に関しては Deno だと ホスト名で指定できるのが良い。network-policy 的なのだと ip range でしかできない。

一方 OpenJDK からは Security Manager の非推奨が提案されているという。。
こいつはかなりこまめな設定ができた気がする。
誰も使ってなさそうだけど。。