xcnotary

Используйте xcrun notarytool --wait как описано в документах Apple: Настройка рабочего процесса нотаризации

С кратким примером, приведенным здесь: #22 (комментарий)

Нотариальное нотаринг приложения MacOS включает в себя серию ручных шагов, в том числе застегнув пакет, загрузку его в Apple и опрос службы нотаризации.

xcnotary автоматизирует эти шаги для вас. Это:

• Попытки при необходимости потерпеть неудачу, выполнив несколько чеков на вашей цели перед загрузкой ее в Apple.
• Застегивает вход, если это комплект .app.
• Представляет вход в службу нотаризации и опросы до завершения. Этот шаг обычно занимает несколько минут.
• В случае успеха прикрепляет билет нотаризации к цели, позволяя приложению проходить привратника при первом запуске даже без подключения к Интернету.
• В случае сбоя получает журнал ошибок из Apple и выводит его в stderr .
• Верните нулевой/ненулевой код для легкой интеграции CI.

 # Install
brew install akeru-inc/tap/xcnotary

# Upgrade
brew update
brew upgrade akeru-inc/tap/xcnotary

Чтобы выполнить различные проверки подписания кода на входе без отправки:

xcnotary precheck < input path >

Чтобы выполнить проверки подписания кода, отправить в службу нотаризации и блокировать ожидание ответа:

xcnotary notarize < input path > 
  --developer-account < Apple Developer account > 
  --developer-password-keychain-item < name of keychain item, see below > 
  [--provider < provider short name > ]
  [--no-precheck]

Поддерживаемые входы:

• ✅. App Puckles
• ✅.
• ✅ .pkg Установщики пакеты

Этот инструмент не обрабатывает пароль разработчика Apple. Вместо этого, помощник Xcode altool читает пароль идентификатора разработчика Apple, непосредственно из-за ключи. См. Документацию для xcrun altool --store-password-in-keychain-item , чтобы настроить подходящий элемент для ключей.

Необязательный аргумент --provider должен быть указан, если учетная запись разработчика связана с более чем одной командой. Это значение может быть получено путем запуска следующей команды и отметив отображение «провайдершорта».

xcrun altool --list-providers  -u " $DEVELOPER_ACCOUNT_USERNAME " -p " @keychain: $PASSWORD_KEYCHAIN_ITEM "

• altool от Xcode подключится к нескольким хостам Apple, как указано в документации.

• Когда нотаризация выходит из строя, xcnotary подключается к https://osxapps-ssl.itunes.apple.com/ на порту 443, чтобы получить журнал сбоев.

Документация Apple советует: «Всегда проверяйте файл журнала, даже если нотаризация достигнет успеха, потому что она может содержать предупреждения, которые вы можете исправить до следующего представления».

xcnotary принесет и отобразит ответ службы нотаризации после завершения.

xcnotary пытается проверить ввод на наличие некоторых общих проблем нотаризации, прежде чем загружать его в Apple. Несмотря на то, что эти проверки не являются надежными, могут потенциально сэкономить вам минуты, ожидая ответа только выйдет из строя из -за неправильного флага кода.

Когда ввод является пакетом приложений, будут выполнены следующие проверки:

• ✅ Пакет, подписанный с сертификатом идентификатора разработчика и не содержит неподписанных предметов.
• ✅ Пакет, подписанный с безопасной меткой времени.
• ✅ Компания не имеет права на получение дачи.
• ✅ Комплект с включенной средой выполнения.

Когда вход представляет собой .dmg или .pkg , выполняется только проверка идентификатора разработчика, т.е. единственная проверка, которую можно выполнить в данный момент без извлечения содержимого. В вашем рабочем процессе вы можете запустить xcnotary precheck на своей цели, прежде чем упаковывать его.

В редких случаях может быть полезно непосредственно устранение вопросов подписания кода, непосредственно с использованием ответа службы нотаризации. Для этого укажите --no-precheck при вызове xcnotary notarize .

Следующие примеры устанавливают различные необходимые флаги сборки, такие как подписание кода с «безопасной меткой времени».

xcodebuild 
   -target < target > 
   -scheme < scheme > 
   -configuration Release 
   -derivedDataPath .xcodebuild 
   " CODE_SIGN_IDENTITY=Developer ID Application: <team name> " 
   " OTHER_CODE_SIGN_FLAGS=--timestamp --options=runtime " 
   CODE_SIGN_INJECT_BASE_ENTITLEMENTS=NO 
   CODE_SIGN_STYLE=Manual

CODE_SIGN_IDENTITY должен соответствовать соответствующему сертификату ключей.

Обратите внимание, что --options=runtime будет иметь эффект от выбора вашего двоичного файла в закаленную среду выполнения. Скорее всего, вы захотите сначала вручную включить возможность «закаленная среда выполнения» в целевых настройках Xcode> «Подписание и возможности» и убедитесь, что ваше приложение функционирует, как и ожидалось. Там вы также можете добавить любые права на ослабление ограничений во время выполнения.

pkgbuild 
   --component < path to bundle built according to above specs >
   --sign " Developer ID Installer: <team name> " 
   --timestamp 
   < output_pkg_name.pkg >

CodeSign после создания DMG:

codesign -s " Developer ID Application: <team> " < dmg >

• Изменить журнал

• Запросы на функции/комментарии/вопросы? Напишите: [email protected]