GN⁺: ImageMagick의 Windows 설치 프로그램, 더 이상 서명되지 않을 예정
(github.com/ImageMagick)- ImageMagick의 Windows 설치 프로그램이 코드 서명 인증서 만료로 인해 더 이상 서명되지 않음.
- 인증서는 이전에 LeaderSSL에 의해 후원되었지만, 더 이상 그렇게 할 수 없음.
- CA/B 포럼은 2023년 6월 이후 OV 코드 서명 개인 키가 FIPS 140-2 레벨 2 또는 Common Criteria 레벨 EAL4+ 인증 장치에 저장되어야 하는 새로운 요구사항을 가지고 있음.
- 이 변화로 인해 ImageMagick은 GitHub 액션에서 사용하기 위해 코드 서명 인증서와 그 개인 키를 내보낼 수 없게 됨.
- ImageMagick은 GitHub과 통합되는 Digicert와 같은 클라우드 솔루션을 사용하는 것을 고려 중이지만, 단일 연도에 대해 $629(세금 제외)의 비용이 들 것임.
- 팀은 코드 서명 인증서에 대한 후원을 받을 수 있으며, 관심 있는 조직들이 연락할 것을 권장함.
- 이 변화는 .exe 설치 프로그램뿐만 아니라 코드 서명 인증서로 서명된 모든 바이너리에 영향을 미침.
- 여러 커뮤니티 회원들이 SignPath, Azure Key Vault, Azure Code Signing과 같은 대안을 제안함.
- 팀은 이러한 저렴한 옵션을 탐색하고 있으며, 가능한 해결책을 위해 AzureCodeSigningTAP에 연락을 취하였음.
- 논의는 또한 GitHub 액션에서 파일에 서명하기 위한 AzureSignTool 및 https://github.com/dotnet/sign 같은 도구의 사용을 강조하였음.
Hacker News 의견
- ImageMagick의 Windows 설치 프로그램이 더 이상 서명되지 않아 개발자들 사이에 불만이 증가하고 있다.
- 개발자들은 오픈 소스 소프트웨어를 위한 LetsEncrypt 스타일 서비스의 필요성을 표현하지만, 이것이 Microsoft와 Apple의 이익에 반하는 것으로 보인다.
- 일부 개발자들은 새로운 서명 규칙이 자동화된 릴리스 워크플로우와 호환되지 않다고 주장하며, 보안 향상에 의문을 제기한다.
- Windows와 MacOS에서의 애플리케이션 서명 문제가 점점 더 문제가 되고 있으며, 일부는 대신 웹 앱을 제공하려는 방향으로 밀어붙인다.
- 제3자 서비스가 애플리케이션 서명을 제공하는 것에 대한 제안이 있지만, 이것이 EULAs에서 금지되어 있는지 의문을 제기한다.
- 널리 사용되는 프로젝트인 ImageMagick이 소프트웨어 서명을 감당하지 못하는 것은 기술 산업이 오픈 소스 프로젝트를 지원하지 못하는 실패로 보인다.
- 개발자들은 오픈 소스 프로젝트를 위한 Windows 바이너리 서명 방법을 공유하며, 이 과정에 대한 비용을 지불해야 한다는 데 대한 불만을 표현한다.
- Microsoft와 같은 대형 기술 회사들이 FOSS 세계를 그들의 플랫폼에 비용이나 번거로움 없이 배포하는 것을 지원하지 않는 것에 대한 비판이 있다.
- 일부 개발자들은 새로운 서명 요구 사항에 대한 해결책을 찾았지만, 정보 부족과 높은 비용에 대한 불만을 표현한다.
- SignPath가 오픈 소스 프로젝트를 위한 코드 서명에 대한 잠재적인 해결책으로 제안되었다.
- 개발자들은 서명 인증서의 비용을 낮추기를 원하며, 높은 연간 요금의 필요성에 의문을 제기한다.
- 상황은 '소프트웨어에 대한 소유권의 감소'를 제안하는 '읽기 권리' 철학에 비교되고 있다.