ImageMagick’in Windows yükleyicisi artık imzalanmayacak

 (github.com/ImageMagick)
1 puan yazan GN⁺ 2023-10-30 | 1 yorum | WhatsApp'ta paylaş
  • ImageMagick’in Windows yükleyicisi, kod imzalama sertifikasının süresinin dolması nedeniyle artık imzalanmayacak.
  • Sertifika daha önce LeaderSSL tarafından sponsor ediliyordu, ancak bunun sürdürülmesi artık mümkün değil.
  • CA/B Forum, Haziran 2023’ten itibaren OV kod imzalama özel anahtarlarının FIPS 140-2 Seviye 2 veya Common Criteria Seviye EAL4+ sertifikalı cihazlarda saklanmasını zorunlu kılan yeni gereksinimlere sahip.
  • Bu değişiklik nedeniyle ImageMagick, GitHub Actions’ta kullanmak üzere kod imzalama sertifikasını ve özel anahtarını dışa aktaramıyor.
  • ImageMagick, GitHub ile entegre olan Digicert gibi bulut çözümlerini değerlendirmeyi düşünüyor; ancak bunun tek bir yıl için maliyeti 629 dolar + vergi olacak.
  • Ekip, kod imzalama sertifikası için sponsorluk alabileceklerini belirtiyor ve ilgilenen kuruluşların iletişime geçmesini teşvik ediyor.
  • Bu değişiklik yalnızca .exe yükleyicilerini değil, kod imzalama sertifikasıyla imzalanan tüm ikili dosyaları etkiliyor.
  • Birden fazla topluluk üyesi SignPath, Azure Key Vault ve Azure Code Signing gibi alternatifler önerdi.
  • Ekip bu daha uygun maliyetli seçenekleri araştırıyor ve olası bir çözüm için AzureCodeSigningTAP ile iletişime geçti.
  • Tartışmada ayrıca GitHub Actions içinde dosya imzalamak için AzureSignTool ve https://github.com/dotnet/sign gibi araçların kullanımına da dikkat çekildi.

İlgili okumalar

1 yorum

 
GN⁺ 2023-10-30
Hacker News görüşleri
  • ImageMagick’in Windows kurulum programı artık imzalanmayacağı için geliştiriciler arasında memnuniyetsizlik artıyor.
  • Geliştiriciler, açık kaynak yazılımlar için LetsEncrypt benzeri bir hizmete ihtiyaç olduğunu dile getiriyor; ancak bunun Microsoft ve Apple’ın çıkarlarına aykırı göründüğünü söylüyor.
  • Bazı geliştiriciler, yeni imzalama kurallarının otomatikleştirilmiş sürüm yayınlama iş akışlarıyla uyumlu olmadığını savunuyor ve güvenlikte gerçekten iyileşme sağlayıp sağlamadığını sorguluyor.
  • Windows ve macOS’ta uygulama imzalama sorunu giderek büyüyor; bazıları bunun yerine web uygulamaları sunmaya yönlendirildiğini düşünüyor.
  • Üçüncü taraf hizmetlerin uygulama imzalama sağlamasına yönelik öneriler var; ancak bunun EULA’lar tarafından yasaklanıp yasaklanmadığı sorgulanıyor.
  • ImageMagick gibi yaygın kullanılan bir projenin yazılım imzalama maliyetini karşılayamaması, teknoloji sektörünün açık kaynak projeleri desteklemekte başarısız olduğunun bir işareti olarak görülüyor.
  • Geliştiriciler, açık kaynak projeleri için Windows ikili dosyalarını imzalama yöntemlerini paylaşıyor ve bu süreç için para ödemek zorunda kalmaktan duydukları rahatsızlığı dile getiriyor.
  • Microsoft gibi büyük teknoloji şirketlerinin, FOSS dünyasının kendi platformlarında ek maliyet veya zahmet olmadan dağıtım yapmasını desteklememesine yönelik eleştiriler var.
  • Bazı geliştiriciler yeni imzalama gereksinimlerine çözüm bulduklarını söylese de, bilgi eksikliği ve yüksek maliyetlerden şikayet ediyor.
  • SignPath, açık kaynak projeleri için kod imzalama konusunda potansiyel bir çözüm olarak öneriliyor.
  • Geliştiriciler imzalama sertifikalarının maliyetinin düşmesini istiyor ve yüksek yıllık ücretlerin neden gerekli olduğunu sorguluyor.
  • Bu durum, yazılım üzerindeki sahipliğin azalmasını ima eden bir “okuma hakkı” felsefesiyle karşılaştırılıyor.