macos - 为什么 OS X 10.9 上运行的版本 2 信封的应用程序不被 OS X 10.10 上的网守接受？

Question

我们有一个 Mono Mac 应用程序，该应用程序在 AppStore 之外分发，由开发者 ID 证书签名。 Gatekeeper 在 OS X 10.9 上接受该应用程序(在 10.9.4 上测试)，但在 10.10 DP 7 上无法接受。

10.10 DP 7 上一些故障排除命令的输出:

mactesters-Mac-mini:myapp 1 mactester$ spctl --assess -v ./myapp.app
./myapp.app: rejected
source=obsolete resource envelope

mactesters-Mac-mini:myapp 1 mactester$ codesign -v myapp.app
myapp.app: resource envelope is obsolete (custom omit rules)

mactesters-Mac-mini:myapp 1 mactester$ codesign -dv myapp.app/
Executable=/Volumes/myapp 1/myapp.app/Contents/MacOS/myapp.sh
Identifier=com.Company.myapp
Format=bundle with generic
CodeDirectory v=20100 size=145 flags=0x0(none) hashes=1+3 location=embedded
Signature size=8531
Timestamp=03 Sep 2014 16:55:21
Info.plist entries=32
TeamIdentifier=not set
Sealed Resources version=2 rules=5 files=813
Internal requirements count=2 size=224
mactesters-Mac-mini:myapp 1 mactester$ 

同一应用程序在 10.9 上的输出:

macadmins-iMac:myapp mactester$ spctl --assess -v ./myapp.app
./myapp.app: accepted
source=Developer ID

macadmins-iMac:myapp mactester$ codesign --verify --deep --verbose=4 ./myapp.app
./myapp.app: valid on disk
./myapp.app: satisfies its Designated Requirement

macadmins-iMac:myapp mactester$ codesign -dv myapp.app
Executable=/Volumes/myapp/myapp.app/Contents/MacOS/myapp.sh
Identifier=com.Company.myapp
Format=bundle with generic
CodeDirectory v=20100 size=145 flags=0x0(none) hashes=1+3 location=embedded
Signature size=8531
Timestamp=03 Sep 2014 16:54:50
Info.plist entries=32
TeamIdentifier=not set
Sealed Resources version=2 rules=5 files=813
Internal requirements count=2 size=224

使用的代码签名命令不包含 --resource-rules 标志:

codesign -v --force --sign 'dev id...' /Volumes/myapp/myapp.app/Contents/MonoBundle/libMonoPosixHelper.dylib
codesign -v --force --sign 'dev id...' /Volumes/myapp/myapp.app

自定义省略规则是什么意思？这个问题如何解决？

Answer 1

“自定义省略规则”错误是由于在签名期间使用 --resource-rules 标志造成的。该标志已被弃用一段时间，并且从 OSX 10.9.5 开始不再被 Gatekeeper 接受。不过，您可以安全地删除它，版本 2 签名向后兼容，甚至可以与 OSX 10.6 一起使用(我已经测试过)。