ImageMagickのWindowsインストーラー、今後は署名されない予定

 (github.com/ImageMagick)
1 ポイント 投稿者 GN⁺ 2023-10-30 | 1件のコメント | WhatsAppで共有
  • ImageMagickのWindowsインストーラーは、コード署名証明書の有効期限切れにより、今後は署名されなくなる。
  • この証明書は以前はLeaderSSLの後援を受けていたが、現在はそれができなくなっている。
  • CA/Bフォーラムは、2023年6月以降、OVコード署名の秘密鍵をFIPS 140-2 レベル2またはCommon Criteria レベル EAL4+認証デバイスに保存しなければならないという新たな要件を設けている。
  • この変更により、ImageMagickはGitHub Actionsで使用するためにコード署名証明書とその秘密鍵をエクスポートできなくなった。
  • ImageMagickは、GitHubと統合できるDigiCertのようなクラウドソリューションの利用を検討しているが、1年あたり629ドル(税別)の費用がかかる見込み。
  • チームはコード署名証明書のスポンサー提供を受けられる可能性があるとしており、関心のある組織に連絡を呼びかけている。
  • この変更は、.exeインストーラーだけでなく、コード署名証明書で署名されるすべてのバイナリに影響する。
  • 複数のコミュニティメンバーが、SignPath、Azure Key Vault、Azure Code Signingといった代替案を提案している。
  • チームはこれらのより安価な選択肢を調査しており、解決策の可能性を探るためAzureCodeSigningTAPに連絡を取った。
  • 議論では、GitHub Actionsでファイルに署名するためのAzureSignToolやhttps://github.com/dotnet/sign のようなツールの利用も強調されていた。

関連記事

1件のコメント

 
GN⁺ 2023-10-30
Hacker Newsの意見
  • ImageMagick の Windows インストーラーが今後は署名されなくなるため、開発者の間で不満が高まっている。
  • 開発者たちは、オープンソースソフトウェア向けの Let’s Encrypt 風サービスの必要性を訴えているが、これは Microsoft や Apple の利益に反するように見える。
  • 一部の開発者は、新しい署名ルールが自動化されたリリースワークフローと互換性がないと主張し、セキュリティ向上にも疑問を呈している。
  • Windows と macOS におけるアプリケーション署名の問題はますます深刻になっており、一部では代わりに Web アプリを提供する方向へと押しやっている。
  • サードパーティーのサービスがアプリケーション署名を提供する案もあるが、それが EULA で禁止されているのではないかという疑問が出ている。
  • 広く使われているプロジェクトである ImageMagick がソフトウェア署名を負担できないのは、技術業界がオープンソースプロジェクトを支援できていない失敗のように見える。
  • 開発者たちは、オープンソースプロジェクト向けに Windows バイナリへ署名する方法を共有しつつ、その過程に費用を支払わなければならないことへの不満を表明している。
  • Microsoft のような大手テック企業が、FOSS の世界が自社プラットフォームへ追加コストや煩雑さなしに配布できるよう支援していないことへの批判がある。
  • 一部の開発者は新しい署名要件への対処法を見つけたものの、情報不足と高コストへの不満を表明している。
  • SignPath が、オープンソースプロジェクト向けコード署名の有力な解決策として提案されている。
  • 開発者たちは署名証明書の費用引き下げを望んでおり、毎年の高額な料金が本当に必要なのか疑問視している。
  • この状況は、「ソフトウェアに対する所有権の縮小」を示唆する「読む権利」という哲学になぞらえられている。