Minha escolha? Eu executaria tudo em um contêiner docker e faria a rotação rotineira do contêiner. Eu executaria esse contêiner em um sistema operacional seguro, atrás de um firewall dedicado.
Meu conhecimento me permitiria executar tudo isso em várias plataformas porque conheço essa área.
Talvez eu não esteja entendendo sua pergunta.
Você quer proteger seu próprio JS em seu próprio servidor ou quer se proteger de scripts maliciosos em sistemas aos quais se conecta como usuário?
Se for a segunda opção e sua máquina atual não funcionar para o qubes (ou se você não tiver dual boot disponível ou algo assim), eu instalaria o tails em um pendrive e inicializaria nele ou executaria o tails em um raspberry pi ou similar e usaria a área de trabalho remota para todos os seus testes inseguros. Dessa forma, toda vez que você reiniciar, você zera o que quer que tenha sido feito, portanto, mesmo que você comprometa a máquina com um link de ator ruim, você a redefinirá assim que ela reiniciar.
