El instalador de Windows de ImageMagick dejará de estar firmado

 (github.com/ImageMagick)
1 puntos por GN⁺ 2023-10-30 | 1 comentarios | Compartir por WhatsApp
  • El instalador de Windows de ImageMagick ya no estará firmado debido al vencimiento del certificado de firma de código.
  • El certificado anteriormente era patrocinado por LeaderSSL, pero ya no pueden seguir haciéndolo.
  • El foro CA/B tiene nuevos requisitos desde junio de 2023: las claves privadas de firma de código OV deben almacenarse en dispositivos certificados con FIPS 140-2 nivel 2 o Common Criteria nivel EAL4+.
  • Debido a este cambio, ImageMagick ya no puede exportar el certificado de firma de código ni su clave privada para usarlos en GitHub Actions.
  • ImageMagick está considerando usar soluciones en la nube como Digicert, que se integran con GitHub, pero costarían $629 por un solo año, sin impuestos.
  • El equipo puede recibir patrocinio para el certificado de firma de código y anima a las organizaciones interesadas a ponerse en contacto.
  • Este cambio afecta no solo al instalador .exe, sino también a cualquier binario firmado con el certificado de firma de código.
  • Varios miembros de la comunidad propusieron alternativas como SignPath, Azure Key Vault y Azure Code Signing.
  • El equipo está explorando estas opciones más económicas y se puso en contacto con AzureCodeSigningTAP para buscar una posible solución.
  • La discusión también destacó el uso de herramientas como AzureSignTool y https://github.com/dotnet/sign para firmar archivos en GitHub Actions.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-10-30
Comentarios en Hacker News
  • El instalador de Windows de ImageMagick dejará de estar firmado, lo que está aumentando el descontento entre los desarrolladores.
  • Los desarrolladores expresan la necesidad de un servicio estilo LetsEncrypt para software de código abierto, pero esto parece ir en contra de los intereses de Microsoft y Apple.
  • Algunos desarrolladores sostienen que las nuevas reglas de firma no son compatibles con los flujos de publicación automatizados y cuestionan si realmente mejoran la seguridad.
  • El problema de la firma de aplicaciones en Windows y macOS se está volviendo cada vez más grave, y algunos sienten que esto empuja a ofrecer aplicaciones web en su lugar.
  • Se ha propuesto que servicios de terceros proporcionen firma de aplicaciones, pero se cuestiona si esto está prohibido por los EULA.
  • Que un proyecto ampliamente usado como ImageMagick no pueda costear la firma de software parece un fracaso de la industria tecnológica para apoyar a los proyectos de código abierto.
  • Los desarrolladores comparten métodos para firmar binarios de Windows para proyectos de código abierto y expresan su molestia por tener que pagar por este proceso.
  • Hay críticas a que grandes empresas tecnológicas como Microsoft no apoyen que el mundo FOSS distribuya en sus plataformas sin costos ni trabas.
  • Algunos desarrolladores han encontrado soluciones para los nuevos requisitos de firma, pero expresan frustración por la falta de información y los altos costos.
  • SignPath fue propuesto como una posible solución para la firma de código en proyectos de código abierto.
  • Los desarrolladores quieren reducir el costo de los certificados de firma y cuestionan la necesidad de pagar tarifas anuales tan altas.
  • La situación se compara con la filosofía del “derecho a leer”, que sugiere una “disminución de la propiedad sobre el software”.