Homebrew tidak lagi mengizinkan bypass Gatekeeper untuk perangkat lunak yang tidak ditandatangani atau tidak dinotariskan

Komentar Hacker News

• Sepemahamanku, perubahan ini terutama tampaknya hanya memengaruhi cask di macOS
  cask dipakai untuk memasang aplikasi biner dalam bentuk dmg atau pkg, dan kebanyakan sudah berupa biner yang ditandatangani
  Fitur Homebrew untuk mengunduh, mengompilasi, dan memasang perangkat lunak open source tampaknya tidak terdampak

  • Saya tidak setuju dengan anggapan bahwa kebanyakan orang yang saya kenal tidak banyak memasang cask
    Sebenarnya satu-satunya keunggulan Homebrew dibanding package manager lain adalah cask
    Saya memasang Homebrew di prefix terisolasi hanya untuk memakai cask, dan tidak menambahkannya ke PATH
    Saya juga memakai beberapa aplikasi yang tidak ditandatangani
    Menurut saya, yang lebih penting daripada status tanda tangan adalah proses kurasi dan verifikasi seperti di Homebrew atau Debian
    Kalau opsi --no-quarantine hilang, saya harus memberi persetujuan manual setiap kali update, dan itu merepotkan
  • Secara default, Homebrew juga mendistribusikan open source dalam bentuk paket biner (bottle)
    Jika melihat daftar paket resmi, jumlahnya sampai ratusan halaman
    Di sana juga tertulis bahwa “tujuannya adalah menyediakan semua hal sebagai bottle”
    Jadi perubahan ini memang tidak berdampak langsung, tetapi perlu diketahui bahwa sekarang sudah bukan lagi berpusat pada build dari source seperti dulu
  • Pemimpin proyek Homebrew mengonfirmasi langsung — perubahan kali ini tidak memengaruhi formulae, hanya berlaku untuk cask
  • Aplikasi perwakilan yang disebut dalam diskusi ini adalah Librewolf dan Freetube
    Diskusi terkait: Homebrew Discussions #6334
  • Saya memasang semua aplikasi GUI lewat Homebrew. Saat ini saya punya lebih dari 30 cask, tetapi saya tidak tahu mana yang ditandatangani dan mana yang tidak

• Sudah lama saya memperkirakan Gatekeeper akan makin diperketat secara bertahap, dan sekarang itu benar-benar terjadi

  • Orang-orang memang menyadarinya ketika Gatekeeper diperketat di macOS 15 Sequoia sekitar setahun lalu
    Artikel terkait: Ars Technica, MacRumors, Daring Fireball
  • Untungnya, laptop Linux makin lama makin bagus
    Saat M1 MacBook Air saya mulai terasa lambat, sepertinya saya bisa sepenuhnya pindah ke Linux
  • Fakta bahwa Apple menghalangi pemasangan OS lain melemahkan persaingan dan juga merugikan pengguna dalam jangka panjang
    Membeli perangkat keras Apple berarti membiarkan perilaku seperti ini
  • Gatekeeper masih bisa dinonaktifkan
    Melihat ukuran pasar Mac dan proporsi pengembangnya, saya rasa kecil kemungkinan Apple akan memblokirnya sepenuhnya
  • Sebenarnya arah seperti ini sudah bisa diperkirakan sejak awal. Hanya saja, peringatan seperti ini dulu diabaikan

• Homebrew lebih merupakan package manager yang ramah konsumen daripada alat untuk profesional
  Banyak keluhan soal update paksa, pembuangan versi lama, dan penutupan diskusi
  Karena itu saya sedang mempertimbangkan pindah ke MacPorts

  • Homebrew hampir tidak bisa dikustomisasi, dan manajemen dependensinya juga berantakan
    Sikap para maintainer yang agresif juga menjadi masalah
  • Saya mulai dengan MacPorts 20 tahun lalu lalu pindah ke Homebrew, tetapi belakangan saya kembali lagi ke MacPorts
    Saya merindukan masa ketika build masih berjalan mulus bahkan di PowerBook lama
  • Sekarang Homebrew nyaris terasa seperti versi perluasan App Store
  • Saya kecewa Homebrew menghentikan dukungan untuk macOS lama
    Meniru Apple dengan meninggalkan dukungan versi lama bertentangan dengan semangat open source
    Saya terkejut ketika melihat tulisan “dukungan Intel dihentikan”
  • Batas antara “untuk profesional” dan “untuk konsumen” terasa kabur. Saya malah ragu apakah benar ada konsumen yang memakai Homebrew

• Menurut saya, masalahnya adalah komunikasi yang tidak ramah dari para maintainer Homebrew
  Secara teknis, memang benar menjalankan xattr pada tahap postinstall, tetapi sikap mereka perlu diperbaiki

  • Respons Mike McQuaid berlebihan. Pihak lawan tenang, tetapi ia malah menjadi agresif tanpa perlu
  • Mereka hanya membuatnya tampak seolah diskusi terbuka, padahal sebenarnya itu hanya diskusi formalitas

• Awalnya saya tidak paham persis apa arti perubahan ini
  Saya bingung apakah build dari source lewat Homebrew akan diblokir, atau hanya biner bertanda tangan yang bisa dijalankan

  • Kenyataannya, hanya cask yang terdampak, formulae dan bottle tetap sama
  • Biner di macOS memiliki flag quarantine, dan jika ini disetel maka akan ada pemeriksaan keamanan sebelum dijalankan
    Opsi --no-quarantine memang dihapus, tetapi pengguna masih bisa menghapus flag itu sendiri
    Pada akhirnya ini adalah langkah untuk mendorong penggunaan biner yang ditandatangani
  • Diskusinya ditutup terlalu cepat sehingga tidak bisa lagi mengajukan pertanyaan
  • MacPorts masih berjalan baik, jadi saya rasa Homebrew pada akhirnya juga akan menemukan solusinya
    Biner yang dibangun sendiri tetap bisa dijalankan
  • Misalnya, aplikasi yang tidak ditandatangani seperti ClickHouse untuk sementara tidak bisa dipasang

• Penghapusan opsi --no-gatekeeper sendiri bukan masalah besar
  Itu hanya berfungsi menghapus atribut com.apple.quarantine
  Masalah sebenarnya adalah semua cask kini diwajibkan memiliki penandatanganan dan notarization Apple Developer Program
  Bagi pengembang open source, biaya $99 per tahun dan keharusan membuka identitas hukum adalah beban
  Akan bagus jika Apple memungkinkan penandatanganan gratis lewat Xcode Cloud
  Diskusi terkait: #6334, #6482

• Saya paham tujuan melindungi pengguna, tetapi masalahnya adalah Gatekeeper telah berubah menjadi alat monetisasi App Store

  • Saya tidak menganggap biaya $90 per tahun (atau $99) terlalu berlebihan
    Hanya saja, itu bisa menjadi beban bagi pengembang pelajar
    Akan lebih baik jika Apple mengizinkan kepercayaan pada sertifikat pihak ketiga

• Opsi --no-quarantine dan pembatasan penandatanganan ARM64 adalah dua hal yang berbeda
  Aplikasi yang tidak ditandatangani tetap tidak akan berjalan meskipun atributnya dihapus
  macOS mengizinkan penandatanganan adhoc, jadi itu bisa dipakai agar aplikasi tetap bisa dijalankan

  • Gatekeeper menentukan pemblokiran eksekusi berdasarkan atribut com.apple.quarantine
    XProtect dan AMFI melakukan pemeriksaan tambahan di latar belakang
    Jika atribut itu dihapus, biner apa pun bisa dijalankan kecuali XProtect memblokirnya
  • Penjelasan di atas pada umumnya akurat

• Saya menyayangkan sikap Homebrew yang terlalu cepat mengunci issue
  Dari sudut pandang pengguna, ini berarti tanpa persetujuan Apple saya tidak bisa menjalankan aplikasi di komputer saya sendiri

  • Homebrew mengunci issue karena diskusi hanya diizinkan di tab Discussions
  • Sudah lama banyak yang menilai para maintainer agresif dan antidebat
  • Saya juga tidak setuju dengan anggapan bahwa “Homebrew itu ramah pengguna”
  • Sampai muncul lelucon bahwa “komputer Tim Cook harus dipakai sesuai keinginan Tim Cook”

• Alacritty juga terdampak oleh perubahan ini
  Kecil kemungkinan para pengembangnya akan membayar biaya penandatanganan Apple
  Issue terkait: alacritty/alacritty#8749

  • Saya juga memakai beberapa cask termasuk Alacritty
    Mungkin saya harus mencari aplikasi pengganti
  • Mungkin ini bisa diatasi hanya dengan menambahkan skrip penghapusan atribut quarantine setelah instalasi
  • Ada solusi sementara di komentar HN lain
  • Kalau memang open source, saya rasa sebenarnya tidak perlu didistribusikan lewat cask, dan lebih tepat dibangun lewat formula