ตัวติดตั้ง Windows ของ ImageMagick จะไม่มีการลงลายเซ็นอีกต่อไป

 (github.com/ImageMagick)
1 คะแนน โดย GN⁺ 2023-10-30 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ตัวติดตั้ง Windows ของ ImageMagick จะไม่มีการลงลายเซ็นอีกต่อไป เนื่องจากใบรับรองการลงลายเซ็นโค้ดหมดอายุ
  • ก่อนหน้านี้ใบรับรองดังกล่าวได้รับการสนับสนุนจาก LeaderSSL แต่ไม่สามารถดำเนินการเช่นนั้นได้อีกต่อไป
  • CA/B Forum มีข้อกำหนดใหม่ว่าหลังเดือนมิถุนายน 2023 คีย์ส่วนตัวสำหรับการลงลายเซ็นโค้ดแบบ OV จะต้องถูกเก็บไว้ในอุปกรณ์ที่ได้รับการรับรอง FIPS 140-2 ระดับ 2 หรือ Common Criteria ระดับ EAL4+
  • การเปลี่ยนแปลงนี้ทำให้ ImageMagick ไม่สามารถส่งออกใบรับรองการลงลายเซ็นโค้ดและคีย์ส่วนตัวของมันเพื่อใช้งานใน GitHub Actions ได้อีก
  • ImageMagick กำลังพิจารณาใช้โซลูชันคลาวด์อย่าง Digicert ที่เชื่อมต่อกับ GitHub ได้ แต่มีค่าใช้จ่าย $629 ต่อ 1 ปี (ไม่รวมภาษี)
  • ทีมงานระบุว่ายินดีรับการสนับสนุนสำหรับใบรับรองการลงลายเซ็นโค้ด และแนะนำให้องค์กรที่สนใจติดต่อเข้ามา
  • การเปลี่ยนแปลงนี้ส่งผลไม่เพียงต่อไฟล์ติดตั้ง .exe เท่านั้น แต่ยังรวมถึงไบนารีทั้งหมดที่ลงลายเซ็นด้วยใบรับรองการลงลายเซ็นโค้ด
  • สมาชิกชุมชนหลายคนได้เสนอทางเลือก เช่น SignPath, Azure Key Vault และ Azure Code Signing
  • ทีมงานกำลังสำรวจตัวเลือกที่มีต้นทุนต่ำเหล่านี้ และได้ติดต่อ AzureCodeSigningTAP เพื่อหาแนวทางแก้ไขที่เป็นไปได้
  • การสนทนายังเน้นการใช้เครื่องมืออย่าง AzureSignTool และ https://github.com/dotnet/sign สำหรับการลงลายเซ็นไฟล์ใน GitHub Actions

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-10-30
ความคิดเห็นจาก Hacker News
  • ตัวติดตั้ง Windows ของ ImageMagick จะไม่มีการลงลายเซ็นอีกต่อไป ทำให้เกิดความไม่พอใจมากขึ้นในหมู่นักพัฒนา
  • นักพัฒนาแสดงความต้องการบริการสไตล์ LetsEncrypt สำหรับซอฟต์แวร์โอเพนซอร์ส แต่ดูเหมือนว่าสิ่งนี้จะขัดต่อผลประโยชน์ของ Microsoft และ Apple
  • นักพัฒนาบางส่วนอ้างว่ากฎการลงลายเซ็นแบบใหม่นั้นไม่เข้ากับเวิร์กโฟลว์การออกรีลีสแบบอัตโนมัติ และตั้งคำถามว่ามันช่วยเพิ่มความปลอดภัยจริงหรือไม่
  • ปัญหาเรื่องการลงลายเซ็นแอปพลิเคชันบน Windows และ MacOS กำลังกลายเป็นปัญหามากขึ้นเรื่อย ๆ และบางคนมองว่านี่เป็นแรงผลักให้หันไปให้บริการเว็บแอปแทน
  • มีข้อเสนอให้บริการลงลายเซ็นแอปพลิเคชันโดยบุคคลที่สาม แต่ก็มีคำถามว่าสิ่งนี้ถูกห้ามไว้ใน EULA หรือไม่
  • การที่โครงการที่มีการใช้งานอย่างแพร่หลายอย่าง ImageMagick ไม่สามารถแบกรับค่าใช้จ่ายในการลงลายเซ็นซอฟต์แวร์ได้ ดูเป็นความล้มเหลวของอุตสาหกรรมเทคโนโลยีในการสนับสนุนโครงการโอเพนซอร์ส
  • นักพัฒนาแบ่งปันวิธีลงลายเซ็นไบนารี Windows สำหรับโครงการโอเพนซอร์ส พร้อมทั้งแสดงความไม่พอใจที่ต้องจ่ายเงินสำหรับกระบวนการนี้
  • มีเสียงวิจารณ์ว่าบริษัทเทคโนโลยีขนาดใหญ่อย่าง Microsoft ไม่ได้สนับสนุนให้โลก FOSS สามารถแจกจ่ายซอฟต์แวร์บนแพลตฟอร์มของตนได้โดยไม่ต้องมีค่าใช้จ่ายหรือความยุ่งยาก
  • นักพัฒนาบางคนพบแนวทางแก้ปัญหาสำหรับข้อกำหนดการลงลายเซ็นแบบใหม่แล้ว แต่ยังแสดงความไม่พอใจต่อการขาดข้อมูลและต้นทุนที่สูง
  • SignPath ถูกเสนอเป็นแนวทางแก้ปัญหาที่เป็นไปได้สำหรับการลงลายเซ็นโค้ดของโครงการโอเพนซอร์ส
  • นักพัฒนาต้องการให้ต้นทุนของใบรับรองการลงลายเซ็นลดลง และตั้งคำถามถึงความจำเป็นของค่าธรรมเนียมรายปีที่สูง
  • สถานการณ์นี้ถูกนำไปเปรียบเทียบกับปรัชญา "สิทธิในการอ่าน" ที่ชี้ให้เห็นถึง "ความเป็นเจ้าของซอฟต์แวร์ที่ลดลง"