macOS 10.15 Catalinaでは全ての新しいアプリやパッケージがAppleの公証を受けること必須となり、GatekeeperがNSTaskやExecにも拡張されるそうです。詳細は以下から。
Appleは現地時間2019年06月03日、2019年秋にリリースする次期Mac用OS「macOS 10.15 Catalina」を発表しましたが、その後に開催されたセッション 103 「Platforms State of the Union」および701「Advances in macOS Security」によると、macOS CatalinaではAppleの公証サービス(Software Notarized)をパスしたアプリのみがGatekeeperにブロックされず起動するそうです。
Appleの公証サービス
AppleはWWDC 2018でMac App Storeはもちろん、開発者の個人サイトやホスティングサービスなどMac App Store外で公開/配布されているアプリ(いわゆる「野良アプリ」)に対し、これらのアプリ内に悪意のあるソフトウェアが含まれていないことを自動的にチェックする公証サービス「Apple Notary Service」が開始されましたが、
Appleによると、この1年でCISCOやVMware、Oracle、Mozilla、VLC、Microsoft、Omni Group、Zoomなどが公証サービスに対応し、送られてきたアプリの95%が平均15分以下で公証サービスをパスしたそうです。
そして、セッション701「Advances in macOS Security」によると、AppleはmacOS CatalinaでGatekeeperにブロックされず起動するアプリに公証をデフォルトで取得するように要求を強化するそうで、この変更は現地時間2019年06月01日からはじまっており、
Mac apps, installer packages, and kernel extensions that are signed with Developer ID must also be notarized by Apple in order to run on macOS Catalina. This will help give users more confidence that the software they download and run, no matter where they get it from, is not malware by showing a more streamlined Gatekeeper interface.
News and Updates – Apple
加えて、macOSのGatekeeperは悪意のあるコンテンツの検出、署名&ローカルポリシーのチェック、アプリが初めて起動された際のユーザー承認をより強固にするため拡張され、NSTaskやexec/posix_spawn、NSBundle/dlopenも対象にし、検疫のために隔離されていない(Non-quarantined)アプリに対しても悪意のあるコンテンツ検出を行うそうです。
登壇されたCoreOSセキュリティチームのGarrett Jacobsonさんは最後に、我々のゴールはmacOSをiOSのようにセキュアにすることだとして、将来のmacOSでは未署名のコードはデフォルトで動かなくなるとしているので、将来のmacOSではセキュリティレベルを下げずにデフォルトのシステム設定でコードを動かす方法も使えなくなるかもしれません。
コメント
サードアプリをこんなガチガチに固めても、肝心のOSがガバガバなんじゃあ意味が…
↑ 具体的にどの部分が「ガバガバ」なんだか…ボキャブラリーの少ないネットコメント例
↑ 今までのリリースノートすら見てないってのがよくわかる語彙力。
フリーソフトでOS作ってるもんだから、バグが 数年間放置とかザラじゃん。
リリースノートすら見ないでガバガバじゃ無いと思ってるようなユーザーのせいで、どんどんやりづらくなる訳。
> フリーソフトでOS作ってるもんだから
まさか、フリーソフト使ってることがバグの原因だと考えてるのか?
何回言われてもリリースノートを絶対読まないから、そういう言葉しか出てこない訳よ。
これから先も絶対読まないっしょ。英文を苦にしない人とそうで無い人の違い。
日本語で記事がヒットしないと、事実が存在しないと信じ込む人居るよね。
セキュアかどうかより自由かどうかのほうが気になる
自己責任でインストールできる現状は許せるんだが