Instalador do ImageMagick para Windows não será mais assinado

 (github.com/ImageMagick)
1 pontos por GN⁺ 2023-10-30 | 1 comentários | Compartilhar no WhatsApp
  • O instalador do ImageMagick para Windows não será mais assinado devido à expiração do certificado de assinatura de código.
  • O certificado era anteriormente patrocinado pela LeaderSSL, mas isso não é mais possível.
  • O fórum CA/B tem novos requisitos desde junho de 2023, segundo os quais chaves privadas de assinatura de código OV devem ser armazenadas em dispositivos certificados FIPS 140-2 nível 2 ou Common Criteria nível EAL4+.
  • Com essa mudança, o ImageMagick não pode mais exportar o certificado de assinatura de código e sua chave privada para uso em GitHub Actions.
  • O ImageMagick está considerando usar soluções em nuvem como a Digicert, que se integra ao GitHub, mas isso custaria $629 por um único ano (sem impostos).
  • A equipe pode receber patrocínio para um certificado de assinatura de código e incentiva organizações interessadas a entrar em contato.
  • Essa mudança afeta não apenas os instaladores .exe, mas também todos os binários assinados com o certificado de assinatura de código.
  • Vários membros da comunidade sugeriram alternativas como SignPath, Azure Key Vault e Azure Code Signing.
  • A equipe está explorando essas opções mais baratas e entrou em contato com o AzureCodeSigningTAP em busca de uma possível solução.
  • A discussão também destacou o uso de ferramentas como AzureSignTool e https://github.com/dotnet/sign para assinar arquivos em GitHub Actions.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-10-30
Comentários do Hacker News
  • O instalador do ImageMagick para Windows não será mais assinado, o que está aumentando a insatisfação entre desenvolvedores.
  • Desenvolvedores expressam a necessidade de um serviço no estilo LetsEncrypt para software de código aberto, mas isso parece ir contra os interesses da Microsoft e da Apple.
  • Alguns desenvolvedores afirmam que as novas regras de assinatura não são compatíveis com fluxos de trabalho de release automatizados e questionam se isso realmente melhora a segurança.
  • A questão da assinatura de aplicativos no Windows e no macOS está se tornando cada vez mais problemática, e alguns veem isso como um empurrão para oferecer aplicativos web em vez disso.
  • Há propostas para que serviços de terceiros forneçam assinatura de aplicativos, mas há dúvidas se isso é proibido pelos EULAs.
  • O fato de um projeto amplamente usado como o ImageMagick não conseguir arcar com a assinatura de software parece um fracasso da indústria de tecnologia em apoiar projetos de código aberto.
  • Desenvolvedores compartilham métodos para assinar binários do Windows para projetos de código aberto e expressam insatisfação com a necessidade de pagar por esse processo.
  • Há críticas a grandes empresas de tecnologia como a Microsoft por não apoiarem o mundo FOSS na distribuição em suas plataformas sem custo ou burocracia.
  • Alguns desenvolvedores encontraram soluções para as novas exigências de assinatura, mas reclamam da falta de informação e dos altos custos.
  • O SignPath foi sugerido como uma possível solução para assinatura de código em projetos de código aberto.
  • Desenvolvedores querem reduzir o custo dos certificados de assinatura e questionam a necessidade de taxas anuais tão altas.
  • A situação é comparada à filosofia do "direito de ler", sugerindo uma "redução da propriedade sobre o software".