Installer Windows untuk ImageMagick tidak akan lagi ditandatangani

 (github.com/ImageMagick)
1 poin oleh GN⁺ 2023-10-30 | 1 komentar | Bagikan ke WhatsApp
  • Installer Windows untuk ImageMagick tidak lagi ditandatangani karena sertifikat penandatanganan kode telah kedaluwarsa.
  • Sertifikat tersebut sebelumnya disponsori oleh LeaderSSL, tetapi kini tidak lagi memungkinkan.
  • CA/B Forum memiliki persyaratan baru bahwa setelah Juni 2023, kunci privat penandatanganan kode OV harus disimpan pada perangkat bersertifikasi FIPS 140-2 level 2 atau Common Criteria level EAL4+.
  • Perubahan ini membuat ImageMagick tidak lagi dapat mengekspor sertifikat penandatanganan kode beserta kunci privatnya untuk digunakan di GitHub Actions.
  • ImageMagick sedang mempertimbangkan penggunaan solusi cloud seperti Digicert yang terintegrasi dengan GitHub, tetapi biayanya mencapai $629 (belum termasuk pajak) untuk satu tahun.
  • Tim dapat menerima sponsor untuk sertifikat penandatanganan kode dan mendorong organisasi yang tertarik untuk menghubungi mereka.
  • Perubahan ini memengaruhi bukan hanya installer .exe, tetapi juga semua biner yang ditandatangani dengan sertifikat penandatanganan kode.
  • Beberapa anggota komunitas mengusulkan alternatif seperti SignPath, Azure Key Vault, dan Azure Code Signing.
  • Tim sedang menjajaki opsi yang lebih terjangkau ini dan telah menghubungi AzureCodeSigningTAP untuk kemungkinan solusi.
  • Diskusi juga menyoroti penggunaan alat seperti AzureSignTool dan https://github.com/dotnet/sign untuk menandatangani file di GitHub Actions.

Bacaan terkait

1 komentar

 
GN⁺ 2023-10-30
Komentar Hacker News
  • Installer Windows untuk ImageMagick tidak akan lagi ditandatangani, sehingga keluhan di kalangan pengembang makin meningkat.
  • Para pengembang menyatakan perlunya layanan bergaya LetsEncrypt untuk perangkat lunak open source, tetapi ini tampaknya bertentangan dengan kepentingan Microsoft dan Apple.
  • Sebagian pengembang berpendapat bahwa aturan penandatanganan baru tidak kompatibel dengan alur kerja rilis otomatis, serta mempertanyakan peningkatan keamanannya.
  • Masalah penandatanganan aplikasi di Windows dan macOS semakin menjadi persoalan, dan sebagian pihak merasa hal ini mendorong arah penyediaan web app sebagai gantinya.
  • Ada usulan agar layanan pihak ketiga menyediakan penandatanganan aplikasi, tetapi muncul pertanyaan apakah hal itu dilarang dalam EULA.
  • Fakta bahwa ImageMagick, proyek yang digunakan secara luas, tidak mampu menanggung biaya penandatanganan perangkat lunak tampak sebagai kegagalan industri teknologi dalam mendukung proyek open source.
  • Para pengembang membagikan cara menandatangani binary Windows untuk proyek open source, sambil mengungkapkan ketidakpuasan karena harus membayar untuk proses tersebut.
  • Ada kritik bahwa perusahaan teknologi besar seperti Microsoft tidak mendukung distribusi dunia FOSS di platform mereka tanpa biaya atau kerepotan.
  • Sebagian pengembang telah menemukan solusi untuk persyaratan penandatanganan baru, tetapi mengeluhkan kurangnya informasi dan tingginya biaya.
  • SignPath diusulkan sebagai solusi potensial untuk code signing bagi proyek open source.
  • Para pengembang ingin biaya sertifikat penandatanganan diturunkan, dan mempertanyakan perlunya biaya tahunan yang tinggi.
  • Situasi ini dibandingkan dengan filosofi 'hak untuk membaca' yang mengisyaratkan 'berkurangnya kepemilikan atas perangkat lunak'.