Homebrew, imzasız veya noter onaylı olmayan yazılımlar için Gatekeeper atlatılmasına artık izin vermeyecek

 (github.com/Homebrew)
1 puan yazan GN⁺ 2025-11-14 | 1 yorum | WhatsApp'ta paylaş
  • macOS Gatekeeper’ı zorla atlatıp imzasız yazılımları çalıştırmak için kullanılan --no-quarantine bayrağı kaldırılacak
  • Bu değişiklik güvenliği güçlendirmeye yönelik bir adım olup, Apple’ın kod imzalama ve noter onayı politikalarına uyumlu şekilde yürütülecek
  • macOS Tahoe, Intel için son macOS olurken bu işlevin gerekliliği de büyük ölçüde azalıyor
  • ARM Mac’lerde imzasız arm64 kodunu çalıştırmak mümkün değil
  • 1 Eylül 2026’dan itibaren Gatekeeper denetimini geçemeyen cask’ler için destek sonlandırılacak

Gerekçe

  • Apple ve Homebrew, Intel Mac desteğini sonlandırma yönünde ilerliyor; --no-quarantine bir güvenlik atlatma işlevi olduğundan bunu sürdürmek için artık bir neden yok

Kullanıcı etkisi

  • Seçeneğin kaldırılmasıyla macOS güvenlik standartlarına uygun bir kurulum ortamı sağlanacak ve Homebrew artık güvenlik atlatma işlevi sunmayacak

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-14
Hacker News yorumu

  • Benim anladığım kadarıyla bu değişiklik esas olarak yalnızca macOS cask tarafını etkiliyor gibi görünüyor
    cask, dmg veya pkg biçimindeki ikili uygulamaları kurmak için kullanılıyor ve bunların çoğu zaten imzalı ikililer
    Homebrew’un açık kaynak yazılımları indirme·derleme·kurma işlevi bundan etkilenmiyor gibi görünüyor

    • Tanıdığım çoğu insanın çok fazla cask kurmadığı sözüne katılmıyorum
      Aslında Homebrew’un diğer paket yöneticilerinden daha iyi olduğu tek nokta cask
      Ben Homebrew’u izole bir prefix’e kurup sadece cask için kullanıyorum ve PATH’e eklemiyorum
      İmzalanmamış birkaç uygulama da kullanıyorum
      Bence önemli olan imza durumu değil, Homebrew veya Debian gibi kürasyon·doğrulama süreci
      --no-quarantine seçeneği kalkarsa her güncellemede elle onay vermek gerekeceği için bu can sıkıcı
    • Homebrew varsayılan olarak açık kaynağı da ikili paket (bottle) biçiminde dağıtıyor
      resmî paket listesine bakınca bunun yüzlerce sayfa tuttuğu görülüyor
      “Her şeyi bottle olarak sunmak hedefimizdir” diye açıkça belirtilmiş
      Bu yüzden bu değişikliğin doğrudan etkisi olmasa da, artık eskisi gibi kaynak derleme odaklı olmadığını bilmek gerekiyor
    • Homebrew proje lideri bizzat doğruladı — bu değişiklik formulae’yi etkilemiyor, yalnızca cask için geçerli
    • Bu tartışmada anılan temsilî uygulamalar Librewolf ve Freetube
      İlgili tartışma: Homebrew Discussions #6334
    • Ben tüm GUI uygulamalarımı Homebrew ile kuruyorum. Şu anda 30’dan fazla cask var ama imza durumlarını bilmiyorum

  • Uzun zamandır Gatekeeper’ın yavaş yavaş daha da sıkılaşacağını öngörüyordum ve bu artık gerçekleşiyor

    • Nitekim bir yıl önce macOS 15 Sequoia’da Gatekeeper güçlendirildiğinde insanlar bunu fark etmişti
      İlgili yazılar: Ars Technica, MacRumors, Daring Fireball
    • Neyse ki Linux dizüstüler giderek daha iyi hale geliyor
      M1 MacBook Air’im yavaşlamaya başladığında tamamen Linux’a geçebilirim gibi görünüyor
    • Apple’ın başka işletim sistemlerinin kurulumunu engellemesi rekabeti zayıflatıyor ve uzun vadede kullanıcılara da zarar veriyor
      Apple donanımı satın almak bu tür davranışları göz yummak anlamına geliyor
    • Gatekeeper hâlâ devre dışı bırakılabiliyor
      Mac’in pazar büyüklüğü ve geliştirici oranı düşünüldüğünde, Apple’ın bunu tamamen kapatması pek olası görünmüyor
    • Aslında en başından beri yönün bu olduğu belliydi. Sadece o zaman bu uyarılar görmezden gelinmişti

  • Homebrew, profesyonellere yönelik bir araçtan çok tüketici dostu bir paket yöneticisi
    Zorunlu güncellemeler, eski sürümlerin kaldırılması, tartışmaların kapatılması gibi nedenlerle memnuniyetsizlik var
    Bu yüzden MacPorts’a geçmeyi düşünüyorum

    • Homebrew’da özelleştirme neredeyse imkânsız ve bağımlılık yönetimi de berbat
      Bakımcıların agresif tavrı da sorun
    • Ben 20 yıl önce MacPorts ile başlayıp sonra Homebrew’a geçmiştim ama yakın zamanda yeniden MacPorts’a döndüm
      Eski PowerBook’larda bile sorunsuz derleme yapılabilen günleri özlüyorum
    • Artık Homebrew neredeyse App Store’un genişletilmiş hâli gibi
    • Homebrew’un eski macOS sürümlerine desteği kesmesi hayal kırıklığı yaratıyor
      Apple gibi eski sürüm desteğini bırakmak açık kaynak ruhuna aykırı
      “Intel desteği sona erdi” ifadesini görünce şok oldum
    • “Profesyonel” ve “tüketici” ayrımı belirsiz. Homebrew kullanan tüketici gerçekten var mı, emin değilim

  • Bence sorun Homebrew bakımcılarının soğuk iletişim tarzı
    Teknik olarak xattr komutunu postinstall aşamasında çalıştırmak doğru olabilir ama tavırlarının düzelmesi gerekiyor

    • Mike McQuaid’in tepkisi aşırıydı. Karşı taraf sakindi ama gereksiz biçimde saldırgandı
    • Tartışma açıkmış gibi gösterdiler ama gerçekte biçimsel bir görüşmeydi

  • Başta bu değişikliğin tam olarak ne anlama geldiğini anlayamamıştım
    Homebrew ile kaynak koddan derlemenin mi engellendiğini, yoksa yalnızca imzalı ikililerin mi çalışabileceğini karıştırdım

    • Gerçekte yalnızca cask etkileniyor, formulae ve bottle aynı şekilde kalıyor
    • macOS ikililerinde bir quarantine işareti bulunuyor ve bu ayarlanırsa çalıştırmadan önce güvenlik denetimi yapılıyor
      --no-quarantine seçeneği kaldırıldı ama kullanıcı işareti kendisi temizleyebilir
      Sonuçta bu, imzalı ikilileri teşvik eden bir yönlendirme
    • Tartışma erken kapatıldığı için artık soru sorulamıyordu
    • MacPorts hâlâ iyi çalıştığına göre, Homebrew da sonunda bir çözüm bulacaktır diye düşünüyorum
      Elle derlenmiş ikililer hâlâ çalıştırılabiliyor
    • Örneğin ClickHouse gibi imzasız uygulamalar bir süre daha kurulamıyor

  • --no-gatekeeper seçeneğinin kaldırılması başlı başına büyük bir olay değil
    Bu seçenek sadece com.apple.quarantine özniteliğini kaldırıyordu
    Asıl sorun, tüm cask’lerin Apple Developer Program imzası·notarizasyonu gerektirir hâle gelmesi
    Açık kaynak geliştiriciler için yıllık 99 dolar maliyet ve yasal kimlik açıklama zorunluluğu yük oluşturuyor
    Keşke Apple, Xcode Cloud’u kullanarak ücretsiz imzalama imkânı sunsa
    İlgili tartışmalar: #6334, #6482

  • Kullanıcıları koruma amacını anlıyorum ama Gatekeeper’ın App Store gelir yaratma aracına dönüşmesi sorunlu

    • Yıllık 90 dolar (veya 99 dolar) bence aşırı değil
      Ancak öğrenci geliştiriciler için yük olabilir
      Apple’ın üçüncü taraf sertifikalara güven seçeneği sunması daha iyi olurdu

  • --no-quarantine seçeneği ile ARM64 imza kısıtlaması ayrı konular
    İmzalanmamış uygulamalar, öznitelik kaldırılsa bile çalışmıyor
    macOS adhoc imzalamaya izin veriyor, bu da kullanılırsa çalıştırmak mümkün

    • Gatekeeper, com.apple.quarantine özniteliğine bakarak çalıştırmayı engelleyip engellemeyeceğine karar veriyor
      XProtect ve AMFI arka planda ek denetimler yapıyor
      Öznitelik kaldırılırsa, XProtect engellemediği sürece herhangi bir ikili çalıştırılabilir
    • Yukarıdaki açıklama genel olarak doğru

  • Homebrew’un konuları çok hızlı kilitleme tavrı üzücü
    Kullanıcı açısından bakınca bu, Apple onayı olmadan kendi bilgisayarında uygulama çalıştıramamak anlamına geliyor

    • Homebrew, tartışmalara yalnızca Discussions sekmesinde izin verdiği için konular kilitleniyor
    • Bakımcıların uzun süredir saldırgan ve tartışma karşıtı olduğu yönünde çok yorum var
    • “Homebrew kullanıcı dostudur” sözüne katılmıyorum
    • Hatta “Tim Cook’un bilgisayarını onun istediği şekilde kullanmalısın” diye şaka yapılıyor

  • Alacritty de bu değişiklikten etkileniyor
    Geliştiricilerin Apple imza ücretini ödemesi pek olası görünmüyor
    İlgili konu: alacritty/alacritty#8749

    • Ben de Alacritty dâhil çeşitli cask’ler kullanıyorum
      Belki alternatif uygulamalar aramak gerekecek
    • Kurulumdan sonra sadece quarantine özniteliğini kaldıran bir betik eklemek sorunu çözebilir
    • HN’deki başka bir yorumda bir geçici çözüm var
    • Açık kaynaksa, bunu cask ile dağıtmak için aslında özel bir neden yok; formula ile derlemek daha doğru olur diye düşünüyorum