Homebrew ya no permitirá omitir Gatekeeper para software no firmado o no notarizado

Opiniones en Hacker News

• Según entiendo, este cambio parece afectar principalmente solo a los casks de macOS
  Los casks se usan para instalar apps binarias en formato dmg o pkg, y la mayoría ya son binarios firmados
  No parece afectar la función de Homebrew de descargar, compilar e instalar software de código abierto

  • No estoy de acuerdo con eso de que la mayoría de la gente no instala muchos casks
    De hecho, lo único en lo que Homebrew es mejor que otros gestores de paquetes es en los casks
    Yo instalo Homebrew en un prefix aislado para usar solo casks, y no lo agrego al PATH
    También uso algunas apps sin firmar
    Creo que más importante que si están firmadas o no es el proceso de curación y verificación de Homebrew o Debian
    Si desaparece la opción --no-quarantine, será incómodo tener que aprobar manualmente cada actualización
  • Homebrew distribuye por defecto incluso el software de código abierto en forma de paquetes binarios (bottles)
    Si ves la lista oficial de paquetes, son cientos de páginas
    Ahí se indica explícitamente que “el objetivo es ofrecer todo como bottle”
    Así que este cambio no tiene un impacto directo, pero vale la pena tener en cuenta que ya no está centrado en compilar desde código fuente como antes
  • Un líder del proyecto Homebrew lo confirmó directamente: este cambio no afecta a las formulae, solo a los casks
  • Las apps más mencionadas en esta discusión son Librewolf y Freetube
    Debate relacionado: Homebrew Discussions #6334
  • Yo instalo todas las apps GUI con Homebrew. Ahora mismo tengo más de 30 casks y no sé bien cuáles están firmados

• Desde hace mucho pensaba que Gatekeeper se iba a ir endureciendo poco a poco, y eso es justo lo que está pasando

  • De hecho, la gente ya se dio cuenta hace un año cuando Gatekeeper se reforzó en macOS 15 Sequoia
    Artículos relacionados: Ars Technica, MacRumors, Daring Fireball
  • Por suerte, las laptops con Linux están mejorando cada vez más
    Para cuando mi M1 MacBook Air empiece a sentirse lento, creo que podré pasarme por completo a Linux
  • Que Apple impida instalar otros sistemas operativos debilita la competencia y también perjudica a los usuarios a largo plazo
    Comprar hardware de Apple es, en cierto modo, tolerar ese comportamiento
  • Gatekeeper todavía se puede desactivar
    Considerando el tamaño del mercado Mac y la proporción de desarrolladores, no creo que Apple llegue a bloquearlo por completo
  • En realidad, esta dirección ya se veía venir desde el principio. Lo que pasó es que esas advertencias fueron ignoradas

• Homebrew es más un gestor de paquetes amigable para consumidores que una herramienta para profesionales
  Hay muchas quejas por las actualizaciones forzadas, el descarte de versiones antiguas y el cierre de discusiones
  Por eso estoy pensando en cambiarme a MacPorts

  • Homebrew casi no se puede personalizar y su manejo de dependencias es un desastre
    La actitud agresiva de algunos mantenedores también es un problema
  • Yo empecé con MacPorts hace 20 años, luego me pasé a Homebrew, pero hace poco volví a MacPorts
    Extraño esa época en la que compilaba sin problemas incluso en PowerBooks viejas
  • Ahora Homebrew parece casi una extensión de la App Store
  • Es decepcionante que Homebrew deje de dar soporte a versiones antiguas de macOS
    Abandonar el soporte para versiones viejas, como hace Apple, va contra el espíritu del código abierto
    Me impactó ver la frase “fin del soporte para Intel”
  • La diferencia entre “para profesionales” y “para consumidores” es borrosa. Incluso me pregunto si realmente hay consumidores que usen Homebrew

• Creo que el problema es la comunicación poco amable de los mantenedores de Homebrew
  Técnicamente, lo correcto sería ejecutar xattr en la etapa postinstall, pero su actitud necesita mejorar

  • La reacción de Mike McQuaid fue excesiva. La otra parte estaba tranquila y aun así él fue innecesariamente agresivo
  • Hicieron que pareciera una discusión abierta, pero en realidad fue una discusión de trámite

• Al principio no entendía exactamente qué significaba este cambio
  Me confundía si Homebrew iba a bloquear la compilación desde código fuente o si solo se podrían ejecutar binarios firmados

  • En la práctica, solo afecta a los casks; las formulae y los bottles siguen igual
  • Los binarios de macOS tienen una marca de quarantine, y cuando está presente pasan por una revisión de seguridad antes de ejecutarse
    La opción --no-quarantine desapareció, pero el usuario todavía puede quitar esa marca manualmente
    En el fondo, es una medida para empujar a usar binarios firmados
  • La discusión se cerró temprano y ya no se podían hacer más preguntas
  • MacPorts sigue funcionando bien, así que creo que Homebrew eventualmente también encontrará una solución
    Los binarios compilados por uno mismo todavía se pueden ejecutar
  • Por ejemplo, apps sin firmar como ClickHouse no se podrán instalar por ahora

• La eliminación de la opción --no-gatekeeper en sí no es gran cosa
  Solo servía para quitar el atributo com.apple.quarantine
  El verdadero problema es que todos los casks ahora pasan a requerir firma y notarización del Apple Developer Program
  Para desarrolladores de código abierto, el costo de US$99 al año y la exposición de identidad legal son una carga
  Ojalá Apple permitiera firmar gratis usando Xcode Cloud
  Debates relacionados: #6334, #6482

• Entiendo el objetivo de proteger al usuario, pero el problema es que Gatekeeper terminó convirtiéndose en una herramienta de monetización de la App Store

  • No me parece que el costo anual de US$90 (o US$99) sea excesivo
    Aun así, puede ser una carga para desarrolladores estudiantes
    Sería mejor si Apple permitiera confiar en certificados de terceros

• La opción --no-quarantine y las restricciones de firma en ARM64 son cosas distintas
  Las apps sin firmar no se pueden ejecutar aunque se les quite el atributo
  macOS permite la firma adhoc, así que se pueden ejecutar usando eso

  • Gatekeeper decide si bloquea la ejecución en función del atributo com.apple.quarantine
    XProtect y AMFI realizan verificaciones adicionales en segundo plano
    Si quitas el atributo, cualquier binario puede ejecutarse salvo que XProtect lo bloquee
  • Esa explicación es, en general, correcta

• Es una lástima que Homebrew bloquee los issues tan rápido
  Desde la perspectiva del usuario, significa que sin la aprobación de Apple no puede ejecutar apps en su propia computadora

  • Homebrew bloquea los issues porque solo permite la discusión en la pestaña Discussions
  • Desde hace tiempo muchos dicen que los mantenedores son agresivos y contrarios al debate
  • No estoy de acuerdo con decir que “Homebrew es amigable para el usuario”
  • Ya hasta hacen bromas de que “la computadora de Tim Cook hay que usarla como él quiera”

• Alacritty también se ve afectado por este cambio
  Es poco probable que los desarrolladores paguen el costo de la firma de Apple
  Issue relacionado: alacritty/alacritty#8749

  • Yo también uso varios casks, incluyendo Alacritty
    Puede que tenga que buscar apps alternativas
  • Tal vez se resuelva simplemente agregando un script para quitar el atributo de quarantine después de instalar
  • Hay un método alternativo en otro comentario de HN
  • Si es de código abierto, no veo por qué distribuirlo como cask; creo que lo correcto sería compilarlo con una formula