Apple’ın ‘notarisation’ sistemi: geliştiricilerin ve kullanıcıların yazılım özgürlüğünü engelleyen yapı

 (fsfe.org)
1 puan yazan GN⁺ 2025-11-10 | 1 yorum | WhatsApp'ta paylaş
  • AB Dijital Piyasalar Yasası (DMA) teknoloji devlerinin piyasa hâkimiyetini azaltmayı ve cihaz tarafsızlığını güvence altına almayı hedeflerken, Apple’ın uygulama ‘notarisation’ prosedürü bu hedefle doğrudan çelişiyor
  • Tüm iOS uygulamaları Apple sunucularından geçerek inceleme, onay ve kriptografik yeniden imzalama almak zorunda; bu da Apple’ın uygulama kurulumu ve dağıtımını tamamen kontrol ettiği bir gatekeeping yapısı olarak işliyor
  • Üçüncü taraf bir uygulama mağazası işletmek için 1 milyon avroluk teminat mektubu veya art arda 2 yıl boyunca 1 milyondan fazla kurulum geçmişi istenmesi, kâr amacı gütmeyen kuruluşlar, girişimler ve bireysel geliştiriciler için fiilen giriş engeli oluşturuyor
  • Bu notarisation sistemi, özgür yazılımın doğrulama ve yeniden dağıtım haklarını ihlal ediyor ve rekabeti ile birlikte çalışabilirliği zayıflatıyor
  • Sivil toplum kuruluşları, Avrupa Komisyonu’ndan yaptırım uygulanmasını ve alternatif dağıtık yazılım kürasyonu modellerinin devreye alınmasını talep ediyor; bunun DMA’nın hedeflediği şeffaflık ve kullanıcı seçim hakkını hayata geçirmek için temel bir görev olduğu belirtiliyor

AB Dijital Piyasalar Yasası (DMA) ve Apple’ın yanıtı

  • DMA, dijital pazarlardaki yapısal güç ilişkilerini yeniden düzenlemeyi amaçlıyor ve kullanıcıların kendi cihazlarında hangi yazılımı çalıştıracaklarına karar verme hakkını güvence altına alan cihaz tarafsızlığını (device neutrality) temel ilke olarak benimsiyor
  • Bu yasa, iOS gibi kapalı ekosistemleri açarak özgür yazılım (Free Software) alternatiflerine izin verecek bir fırsat sunuyor
  • Apple ise buna karşı çıkarak düzenleyici kurumlara karşı dava açtı ve sideloading yasağı, alternatif uygulama mağazalarının engellenmesi ve birlikte çalışabilirliğin kısıtlanması yoluyla özgür yazılımı dışlıyor

Sivil toplum kuruluşlarının şikâyeti

  • ARTICLE 19 ve GFF (Gesellschaft für Freiheitsrechte), 22 Ekim 2025’te Apple’ın DMA’ya uymadığı gerekçesiyle Avrupa Komisyonu’na resmî şikâyette bulundu
  • Şikâyet, aşağıdaki üç uygulamanın DMA ihlali olduğunu savunuyor
    • Üçüncü taraf yazılımların serbestçe kurulmasının (sideloading) yasaklanması
    • Üçüncü taraf uygulama mağazalarının fiilen işletilememesi
    • iOS·iPadOS özellikleriyle ücretsiz birlikte çalışabilirlik sunulmaması

Apple’ın ‘notarisation’ prosedürü

  • Tüm uygulamalar, kurulabilmeleri için Apple sunucularına gönderilip tarama, onay ve kriptografik yeniden imzalama sürecinden geçmek zorunda
  • Bu süreç, App Store dışından dağıtılan uygulamalara da aynı şekilde uygulanıyor; böylece Apple tüm uygulama kurulumlarını kontrol ediyor
  • Sonuç olarak, güvenlik incelemesi adı altında merkezi bir sansür yapısı oluşuyor ve geliştiricilerle kullanıcılar Apple ekosistemine bağımlı hâle geliyor

Üçüncü taraf uygulama mağazalarına yönelik aşırı koşullar

  • Apple, üçüncü taraf uygulama mağazalarına izin vermek için aşağıdakilerden birini talep ediyor
    1. A derecesi veya üzeri bir finans kuruluşundan 1 milyon avroluk teminat mektubu sunulması
    2. En az 2 yıldır geliştirici programı üyesi olunması ve AB içinde yılda 1 milyondan fazla kurulum geçmişine sahip olunması
  • Bu koşullar, kâr amacı gütmeyen kuruluşlar, KOBİ’ler, girişimler ve bireysel geliştiriciler için adaletsiz olup pazara girişin önünü kapatıyor
  • macOS’ta sideloading’e izin verilirken iOS·iPadOS’ta aynı özgürlük engelleniyor; böylece yalnızca mobil cihazlarda tekelci kontrol sürdürülüyor

Özgür yazılım üzerindeki etkisi

  • Notarisation süreci, ücretli geliştirici hesabına katılmayı, sınırlayıcı yasal koşulları kabul etmeyi ve kapalı bir inceleme sürecine girmeyi zorunlu kılıyor
  • Onaylanan ikililer DRM ile yeniden imzalanıyor; bu da kullanıcıların kaynak kod ile çalıştırılabilir dosyanın eşleşip eşleşmediğini doğrulamasını veya onu serbestçe yeniden dağıtmasını engelliyor
  • Bu durum, kullanıcının doğrulama hakkını ve geliştirici özerkliğini ihlal ediyor; ayrıca alternatif uygulama mağazası işletmecilerinin bile Apple onayı olmadan uygulama dağıtamayacağı bir yapı ortaya çıkarıyor

DMA ile çatışma

  • DMA, gatekeeper’ların üçüncü taraf uygulama mağazalarının kurulmasına izin vermesini ve gereksiz teknik kısıtlamalar getirmemesini açıkça belirtiyor
  • Ancak Apple’ın notarisation sistemi, tüm uygulamaları kendi onay sürecine bağımlı kılarak DMA’nın yasakladığı bağımlılık yapısını güçlendiriyor
  • Bunun sonucunda rekabetin zarar görmesi, bağımsız geliştiricilerin caydırılması ve kâr amacı gütmeyen projelerin dışlanması gibi etkiler ortaya çıkıyor

Dağıtık yazılım kürasyonu alternatifi

  • Sivil toplum kuruluşları, Avrupa Komisyonu’ndan yaptırım uygulanmasını ve alternatif bir yapının oluşturulmasını talep ediyor
  • Dağıtık kürasyon (decentralised curation), F-Droid gibi depolarda doğrulanmış bir model olarak güvenlik ile özgür yazılımın bir arada var olabileceğini gösteriyor
    • Güven, tek bir şirkette değil; şeffaf doğrulama hattı, yeniden üretilebilir build’ler ve topluluk denetimi üzerinden dağıtılıyor
    • Kullanıcılar kime güveneceklerini doğrudan seçebiliyor, küratörler ise kamusal sorumluluk taşıyan bir yapı içinde hareket ediyor
  • Bu model, birlikte çalışabilirliği, şeffaflığı ve kullanıcı seçim hakkını hayata geçirirken güvenliği kurumsal sırlarla değil, çeşitlilik ve doğrulanabilir bütünlükle sağlıyor

Önümüzdeki görevler

  • DMA’nın etkili olabilmesi için düzenleyicilerin notarisation’ı bir ‘güvenlik işlevi’ değil, bir ‘kontrol aracı’ olarak görmesi gerekiyor
  • Apple’ın güvenlik anlayışı, şeffaflığı, rekabeti ve kullanıcı özerkliğini zayıflatıyor ve yazılım özgürlüğünü kısıtlıyor
  • Avrupa Komisyonu, gerçek açıklığı ve kurma, paylaşma, doğrulama özgürlüğünü güvence altına almadıkça DMA’nın amacı gerçekleşmeyecek
  • Bu, yalnızca teknik bir mesele değil, özgürlük (freedom) meselesi olarak tanımlanıyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-10
Hacker News görüşleri
  • Birden fazla aracın ikili dağıtımını durdurdum
    Her yıl 100 dolar ödemek de hoşuma gitmiyordu, imzasız çalıştırma yöntemini sürekli açıklamaktan da yorulmuştum
    Bu yüzden insanların başvurabilmesi için şu yazıyı bıraktım
    • Açıkçası kaynak kodunu yayımlamak daha kolay ve kullanıcı için de daha avantajlı gibi görünüyor
    • Bu arada gönderilen yazı iOS için notarization ile ilgili ve macOS’taki notarization ile neredeyse hiç alakalı değil
      iOS tarafında bu, fiilen app review’un küçültülmüş bir versiyonu
      İlgili belge: Apple Developer dokümanı
  • Windows’ta da durum benzer
    Geliştiricinin code signing yapması gerekiyor ve benim deneyimime göre daha da zahmetliydi
    USB token kullanmak gerektiği için CI/CD ortamında neredeyse imkansızdı
    Bizim şirket, bir mac mini üzerinde Windows VM çalıştırıp imzalama token’ını ona takarak macOS ve Windows ikililerini imzalıyordu
    İdeal çözüm, OS düzeyinde üçüncü taraf sertifika entegrasyonunu kolaylaştırmak olurdu
    Kullanıcının riski anlayarak ama güvenilir bir şekilde self-sign yapmasına izin verilmeli
    • Ben de benzer bir sorun yaşadım
      Linux’ta Windows ikililerini imzalamak için osslsigncode kullanılabiliyor
      Sonunda biz Digicert Keylocker kullandık
      CLI aracıyla Linux’tan otomatik imzalama olacak şekilde yapılandırdık
    • İmzalanmamış bir program çalıştırıldığında Windows’ta UAC penceresi sarı çıkıyor ama yine de çalıştırmak mümkün
      Sorun, macOS’ta bunun bu kadar basit olmaması
    • USB token yerine Azure Key Vault gibi bir HSM kullanıp Azure signtool ile de imzalanabilir
    • Bu arada notarization, code signing ile aynı şey değil
      İmzadan sonra Apple sunucularına yükleyip onay alma şeklinde ek bir adım
      Güvenlik açısından büyük bir faydası yok ama süreci daha karmaşık hale getirdi
    • CI ortamında Azure Trusted Signing denemenizi öneririm
      Eskiden Windows imzalama bir kabustu ama şimdi aylık 10 dolar civarında oldukça basit hale geldi
  • Makalede alıntılanan ifade yanıltıcı olabilir
    Apple’ın notarization süreci tam anlamıyla bir app review değil
    Resmî dokümana göre bu, otomatik bir sistemin kötü amaçlı yazılımı ve imza sorunlarını denetlediği bir süreç
    Apple muhtemelen DMA’nın (Dijital Piyasalar Yasası) 6.7 maddesine dayanarak notarization şartının kabul edilebilir olduğunu savunacaktır
    Kilit nokta, bu önlemin ‘kesin olarak gerekli ve orantılı’ olup olmadığı
    Bana göre ‘strictly necessary’ kavramı, defense in depth stratejisiyle çelişiyor
    Mahkemenin bunu nasıl değerlendireceğini görmek gerekecek
    • Gönderilen yazı iOS notarization hakkında ve macOS notarization’dan tamamen farklı
      Apple’ın aynı kelimeyi kullanarak kafa karışıklığı yaratması üzücü
  • Apple’ın yalnızca kendi onayladığı uygulamaların çalıştığı bir akıllı telefon yapıp geliştiricilerden ücret almasına şaşırıyormuş gibi yapan ironik bir yorum
    Benzetme olarak Nintendo’nun da yalnızca kendi onayladığı oyunların çalıştığı konsollar üretmesi veriliyor
    iOS App Store gelirinin %70’inin oyunlardan geldiğine dikkat çekiliyor
  • Uzun zaman önce Apple ekosistemini bıraktım
    Artık daha fazla geliştiricinin bu gerçeği fark ettiğini görmek sevindirici
    • Ben de aynı seçimi yaptım
      iOS/macOS geliştirmeyi bırakmak kariyerimde aldığım en iyi kararlardan biriydi
  • Keşke FSFE, Play Store dışından uygulama yüklemek isteyen geliştiricilere zorunlu kayıt dayatmasını engellemek için Google’a karşı da benzer bir dava açsa
    Böyle bir girişim olursa bağışla desteklemek isterim
  • Geçmişte bir Electron masaüstü uygulaması ile çok uğraştım
    Notarization ve imzalama entegrasyonu berbattı; ilk gönderimlerin her biri günler alıyordu ve GitHub Actions CI/CD kurulumu da aşırı karmaşıktı
    Buna bir de yeni notarization politikası eklenince, insanın aklına yine Apple, Apple’dır düşüncesi geliyor
  • Bu tür notarization süreçleri, 2027 sonlarında EU Cybersecurity Resiliency Act yürürlüğe girdiğinde daha da önemli hale gelecek gibi görünüyor
  • Ben bir iOS kullanıcısı olarak bu tür politikaları seviyorum
    Çünkü anneannemi dolandırıcılık uygulamalarından koruyabiliyor
    Daha önce Android telefon kullanırken, telefonda yönlendirilip sahte bir banka uygulaması kurmuş ve para kaybetmişti
    Mükemmel değil ama kulüp giriş ücreti ya da kapalı site gibi, en azından asgari bir güvenlik bariyeri işlevi görüyor
    • Ama App Store’da da abonelik dolandırıcılığı uygulamaları fazlasıyla var
      Gerçekte reklamı yapıldığı kadar iyi işlemiyor
  • Sonuçta Windows’ta da sertifika ücreti ödemek gerektiği için durum benzer