Trình cài đặt Windows của ImageMagick sẽ không còn được ký nữa

 (github.com/ImageMagick)
1 điểm bởi GN⁺ 2023-10-30 | 1 bình luận | Chia sẻ qua WhatsApp
  • Trình cài đặt Windows của ImageMagick sẽ không còn được ký do chứng chỉ ký mã hết hạn.
  • Chứng chỉ này trước đây được LeaderSSL tài trợ, nhưng hiện không thể tiếp tục như vậy nữa.
  • Diễn đàn CA/B có yêu cầu mới rằng từ sau tháng 6 năm 2023, khóa riêng cho ký mã OV phải được lưu trữ trên thiết bị được chứng nhận FIPS 140-2 cấp độ 2 hoặc Common Criteria cấp độ EAL4+.
  • Thay đổi này khiến ImageMagick không thể xuất chứng chỉ ký mã và khóa riêng của nó để sử dụng trong GitHub Actions.
  • ImageMagick đang cân nhắc sử dụng giải pháp đám mây như Digicert, có tích hợp với GitHub, nhưng chi phí sẽ là $629 (chưa bao gồm thuế) cho một năm.
  • Nhóm có thể nhận tài trợ cho chứng chỉ ký mã và khuyến khích các tổ chức quan tâm liên hệ.
  • Thay đổi này không chỉ ảnh hưởng đến trình cài đặt .exe mà còn đến mọi tệp nhị phân được ký bằng chứng chỉ ký mã.
  • Nhiều thành viên cộng đồng đã đề xuất các lựa chọn thay thế như SignPath, Azure Key Vault và Azure Code Signing.
  • Nhóm đang tìm hiểu các tùy chọn rẻ hơn này và đã liên hệ với AzureCodeSigningTAP để tìm giải pháp khả thi.
  • Cuộc thảo luận cũng nhấn mạnh việc sử dụng các công cụ như AzureSignTool và https://github.com/dotnet/sign để ký tệp trong GitHub Actions.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-10-30
Ý kiến trên Hacker News
  • Trình cài đặt Windows của ImageMagick sẽ không còn được ký nữa, làm gia tăng sự bất mãn trong giới lập trình viên.
  • Các lập trình viên bày tỏ nhu cầu về một dịch vụ kiểu LetsEncrypt cho phần mềm mã nguồn mở, nhưng điều này dường như đi ngược lại lợi ích của Microsoft và Apple.
  • Một số lập trình viên cho rằng các quy tắc ký mới không tương thích với quy trình phát hành tự động, đồng thời đặt câu hỏi về việc liệu bảo mật có thực sự được cải thiện hay không.
  • Vấn đề ký ứng dụng trên Windows và MacOS ngày càng trở nên nghiêm trọng, và một số người cho rằng điều này đang đẩy họ theo hướng chỉ cung cấp ứng dụng web thay thế.
  • Có đề xuất để các dịch vụ bên thứ ba cung cấp việc ký ứng dụng, nhưng cũng có nghi vấn liệu điều này có bị cấm trong các EULA hay không.
  • Việc một dự án được dùng rộng rãi như ImageMagick không thể kham nổi chi phí ký phần mềm dường như là một thất bại của ngành công nghệ trong việc hỗ trợ các dự án mã nguồn mở.
  • Các lập trình viên chia sẻ cách ký nhị phân Windows cho các dự án mã nguồn mở, đồng thời bày tỏ sự bất mãn vì phải trả tiền cho quy trình này.
  • Có sự chỉ trích nhắm vào các công ty công nghệ lớn như Microsoft vì không hỗ trợ thế giới FOSS phân phối lên nền tảng của họ mà không tốn chi phí hoặc phiền hà.
  • Một số lập trình viên đã tìm ra giải pháp cho các yêu cầu ký mới, nhưng vẫn bày tỏ sự bất mãn về việc thiếu thông tin và chi phí cao.
  • SignPath được đề xuất như một giải pháp tiềm năng cho việc ký mã của các dự án mã nguồn mở.
  • Các lập trình viên muốn giảm chi phí của chứng chỉ ký, và đặt câu hỏi về sự cần thiết của các khoản phí hằng năm cao.
  • Tình hình này được so sánh với triết lý "quyền được đọc", hàm ý sự "suy giảm quyền sở hữu đối với phần mềm".