Apple、開発者に対しMacAppStore外で公開するアプリを公証するレビューなしの「Notary Service (Beta)」を開始。

Developer

2018.06.092018.09.22

記事内に広告が含まれています。

　Appleが開発者に対しMacAppStore外で公開するアプリを公証するレビューなしの「Notary Service (Beta)」を開始するそうです。詳細は以下から。

　Appleは現地時間2018年06月04日から開催しているWWDC 2018の中で、Mac App Store外で公開されているMacアプリに対してmacOSのセキュリティ保護を高める目的として、Appleにより開発したアプリを公証する「Apple Notary Service」というサービスを開始すると発表しています。

Notarized App
A notarized app is a macOS app that was uploaded to Apple for validation before it was distributed. When you export a notarized app from Xcode, it code signs the app with a Developer ID certificate and staples a ticket from Apple to the app. The ticket confirms that you previously uploaded the app to Apple.

On macOS 10.14 and later, the user can launch notarized apps when Gatekeeper is enabled. When the user first launches a notarized app, Gatekeeper looks for the app’s ticket online. If the user is offline, Gatekeeper looks for the ticket that was stapled to the app.

Upload a macOS app to be notarized – Xcode Help

Apple Notary Serviceの目的

　Apple Notary ServiceはDeveloper IDを利用してMacアプリの起動許可/拒否をコントロールするセキュリティ機能「Gatekeeper」の延長線上にあり、“Platforms State of the Union”での発表によると、このサービスは以下の2つを目標として開発され、今後はDeveloper ID付きアプリはこのサービスで公証することを必須にするそうです。

マルウェアをユーザーに配布される前に検出する。
開発者IDが付いた全てのアプリを無効にするのではなく、特定のアプリのみを無効にできる。

The first is to detect malware even faster than today before it gets distributed to our users. Second provide a finer grained revocation capability. So that we can revoke a specific version of a compromise. App as opposed to revoking the entire set signing certificate.

Platforms State of the Union

Apple Notary Serviceの仕組み

　また、Apple Notary Serviceの仕組みについてはセッション702“Your Apps and the Future of macOS Security”の中で詳しく説明されており、開発者はこれまで通り[アプリを開発] → [テストと配布前の署名] → [Webサイトで公開]というワークフローの間に1度だけAppleのNotary Serviceにアプリを提出し公証してもらえばいいだけで、

Mac App Storeを通しての公開を目的としていない場合は、AppleのApp Storeガイドラインの遵守やAppleのレビューチームによるレビューが必要なく、公証もXcodeを通して簡単に行えるようになっており、マルウェアや全ての実行ファイルに署名されていない、”Enhanced Runtime”をオプトインなしで実行するといったアプリでない限りは認められるようです。