问答:Mac 公证服务团队答疑
2024 年 3 月 7 日
安全是每个 Apple 平台的核心所在。Mac 公证服务团队隶属于 Apple Security Engineering and Architecture。在本期问答中,他们将分享有关 App 分发和账户安全保护的技巧,以帮助 Mac 开发者打造积极的体验并保护他们的用户。
我应该在什么时候提交新 App 进行公证?
准备进行公证时,App 应达到基本完成的状态。如果 App 尚无法正常使用,也就没有必要进行公证。
应该多久提交一次我的 App 进行公证?
凡是你打算分发的 App 版本,都应提交以进行公证,其中也包括 Beta 版本。这是因为,我们会为你提交的特定软件构建描述文件,以便将你的 App 与其他开发者的 App 以及恶意软件区分开来。由于我们会发布新的签名来阻止恶意软件,因此这个描述文件有助于确保你已经公证的软件不受影响。
如果我的 App 被选定进行进一步的分析,会出现什么情况?
部分上传到公证服务系统的内容需要额外评估。如果你的 App 属于这类情况,无需担心,我们已收到你的文件并将尽快完成分析,只是所需时间可能比平时长一些。此外,如果你之前上传的版本在处理速度上有所延迟,而在此期间你对 App 做出了更改,那么你可以上传新的版本。
如果我的 App 被拒,该怎么办?
请注意,空 App 或是可能会对用户电脑造成损害的 App (通过在用户不知情的情况下更改重要的系统设置) 可能会被拒,即使这些 App 并非恶意软件也会如此。如果你提交的 App 被拒,请首先确认 App 不包含恶意软件。然后,确定是否应以私密方式分发,例如通过 MDM 在企业内部分发。
如果我的业务状况发生变化,该怎么办?
请及时更新你的开发者账户详细信息,包括你的企业名称、联系信息、地址和协议。如果账户活动或公证软件出现重大变化,表明你的账户或证书可能已泄露。如果发现此类活动,我们可能会暂停你的账户,同时开展进一步调查。
我是为客户开发软件的承包商。我可以通过哪些方式确保负责任地进行开发?
如果你被要求执行以下操作,请务必谨慎:
- 签名、公证或分发并非你开发的二进制文件。
- 开发任一款似乎是现有软件克隆版本的软件。
- 开发任一款似乎是企业内部应用程序的软件,而提出要求的客户并不是这家公司的员工。
- 开发高风险类别的软件,如 VPN、系统实用工具、财务或监控类 App。
此类软件通常有权访问隐私数据,因而增加了用户面临的风险。切记你有责任了解你的客户,以及你构建和/或签名的所有软件的功能。
如何才能始终有效掌控我的开发者账户?
由于恶意软件开发者可能会尝试获取合法账户的访问权限以隐藏其活动,因此请务必启用双重认证。不法分子还可能会冒充顾问或员工,要求你将其加入你的开发者团队。一个简单而有效的应对之策是 — 绝不共享账户访问权限。
如果开发者已经离开了我的团队,我是否应该移除其访问权限?
是的。如果你怀疑 Developer ID 证书已遭泄露,我们可以为你撤销证书。
进一步了解公证
Notarizing macOS software before distribution