Apple、開発者に対しMacAppStore外で公開するアプリを公証するレビューなしの「Notary Service (Beta)」を開始。

シェアする

スポンサーリンク

 Appleが開発者に対しMacAppStore外で公開するアプリを公証するレビューなしの「Notary Service (Beta)」を開始するそうです。詳細は以下から。

AppleのGatekeeperアイコン

 Appleは現地時間2018年06月04日から開催しているWWDC 2018の中で、Mac App Store外で公開されているMacアプリに対してmacOSのセキュリティ保護を高める目的として、Appleにより開発したアプリを公証する「Apple Notary Service」というサービスを開始すると発表しています。

Apple Notarize Service

Notarized App
A notarized app is a macOS app that was uploaded to Apple for validation before it was distributed. When you export a notarized app from Xcode, it code signs the app with a Developer ID certificate and staples a ticket from Apple to the app. The ticket confirms that you previously uploaded the app to Apple.

On macOS 10.14 and later, the user can launch notarized apps when Gatekeeper is enabled. When the user first launches a notarized app, Gatekeeper looks for the app’s ticket online. If the user is offline, Gatekeeper looks for the ticket that was stapled to the app.

Upload a macOS app to be notarized – Xcode Help

スポンサーリンク

Apple Notary Serviceの目的

 Apple Notary ServiceはDeveloper IDを利用してMacアプリの起動許可/拒否をコントロールするセキュリティ機能「Gatekeeper」の延長線上にあり、“Platforms State of the Union”での発表によると、このサービスは以下の2つを目標として開発され、今後はDeveloper ID付きアプリはこのサービスで公証することを必須にするそうです。

  1. マルウェアをユーザーに配布される前に検出する。
  2. 開発者IDが付いた全てのアプリを無効にするのではなく、特定のアプリのみを無効にできる。

AppleのMacアプリ公証サービス

The first is to detect malware even faster than today before it gets distributed to our users. Second provide a finer grained revocation capability. So that we can revoke a specific version of a compromise. App as opposed to revoking the entire set signing certificate.

Platforms State of the Union

Apple Notary Serviceの仕組み

 また、Apple Notary Serviceの仕組みについてはセッション702“Your Apps and the Future of macOS Security”の中で詳しく説明されており、開発者はこれまで通り[アプリを開発] → [テストと配布前の署名] → [Webサイトで公開]というワークフローの間に1度だけAppleのNotary Serviceにアプリを提出し公証してもらえばいいだけで、

Apple Notarize Process for macOS App

Mac App Storeを通しての公開を目的としていない場合は、AppleのApp Storeガイドラインの遵守やAppleのレビューチームによるレビューが必要なく、公証もXcodeを通して簡単に行えるようになっており、マルウェアや全ての実行ファイルに署名されていない、”Enhanced Runtime”をオプトインなしで実行するといったアプリでない限りは認められるようです。

AppleのNotarized Appを作る方法

Apple Notary ServiceとMojave

 Apple Notary Serviceはまだ開始されたばかりのBetaサービスで、様々なフォードバックを受け付けているそうですが、Appleは2018年秋にもリリースを予定しているmacOS 10.14 Mojaveで公証アプリであることを証明する通知をGatekeeperにより表示し、

さらに将来的にはGatekeeperでブロックされないためのアプリとして公証を必須にすると発表しているので、野良アプリに表示される警告が一層多くなりそうです。

非証明/非公証のアプリが動かなくなるということは今の所なさそうです。