苹果限时放宽 App Notarize 审核机制

近日，苹果发出提醒：为了确保开发者和Mac用户均能顺利过渡，App Notarize审核机制在2020年1月份之前放宽了部分此前的限定条件。根据苹果官方说明，自 macOS 10.15 起，所有从互联网下载的未进行 notarize 的App，默认将无法被打开，所以在 App Store 外分发的 App，也必须在发布前将App上传到苹果的服务器进行处理。

代码签名(App Notarize)机制是一种对抗恶意软件的重要武器，它能够帮助用户识别已签名App的真实身份，并验证目标应用是否被非法篡改过。代码签名机制基于密码学方法来判断代码的真实性，并防止攻击者将恶意代码伪装成合法代码。Notarization机制是建立在当前Gatekeeper安全检查之上的一个新验证层，是Gatekeeper技术的补充。

总的来说，Notarization机制的特点如下：

1.Notarization机制是将其提交给苹果审核的过程，其目的就是要让苹果对商店里的应用程序进行安全控制。

2.Stapling是将Notarization机制附加到应用程序或kext上的过程，这样它就可以离线运行或在某种安全隔离的网络上运行。

3. Notarization机制只是针对开发人员的，目前只是在测试，等到 macOS 10.14.5，很可能会强制使用Notarization机制。

4.内核扩展Notarization机制是10.14.5的强制性要求，未经Notarization机制验证的内核扩展将在10.14.5加载时失败。

此外苹果还对Notarization机制的部分条件进行了放宽，例如使用较旧SDK的应用程序或包含未由开发者ID签名的组件。这些放宽的条件包括：

- 未启用Hardened Runtime功能。

- 组件未使用您的开发者ID进行签名。

- 不包含代码签名签名的安全时间戳。

- 使用较旧的SDK构建。

- 包括com.apple.security.get-task-allow权利，其值设置为任何变量true。

图文来自 cnBeta，如有侵权请联系删除。