Le programme d’installation Windows d’ImageMagick ne sera désormais plus signé

 (github.com/ImageMagick)
1 points par GN⁺ 2023-10-30 | 1 commentaires | Partager sur WhatsApp
  • Le programme d’installation Windows d’ImageMagick n’est désormais plus signé en raison de l’expiration du certificat de signature de code.
  • Le certificat était auparavant sponsorisé par LeaderSSL, mais ce n’est plus possible.
  • Le forum CA/B impose de nouvelles exigences selon lesquelles, depuis juin 2023, les clés privées de signature de code OV doivent être stockées sur des appareils certifiés FIPS 140-2 niveau 2 ou Common Criteria niveau EAL4+.
  • En raison de ce changement, ImageMagick ne peut plus exporter le certificat de signature de code et sa clé privée pour les utiliser dans les GitHub Actions.
  • ImageMagick envisage d’utiliser une solution cloud comme Digicert, intégrée à GitHub, mais cela coûterait 629 $ par an hors taxes.
  • L’équipe est ouverte à un sponsoring pour le certificat de signature de code et invite les organisations intéressées à prendre contact.
  • Ce changement affecte non seulement les installateurs .exe, mais aussi tous les binaires signés avec le certificat de signature de code.
  • Plusieurs membres de la communauté ont proposé des alternatives comme SignPath, Azure Key Vault et Azure Code Signing.
  • L’équipe explore ces options moins coûteuses et a contacté AzureCodeSigningTAP pour étudier une solution possible.
  • La discussion a également mis en avant l’utilisation d’outils comme AzureSignTool et https://github.com/dotnet/sign pour signer des fichiers dans les GitHub Actions.

À lire aussi

1 commentaires

 
GN⁺ 2023-10-30
Avis Hacker News
  • Le programme d’installation Windows d’ImageMagick ne sera plus signé, ce qui alimente le mécontentement parmi les développeurs.
  • Des développeurs expriment le besoin d’un service de type LetsEncrypt pour les logiciels open source, mais cela semble aller à l’encontre des intérêts de Microsoft et d’Apple.
  • Certains développeurs affirment que les nouvelles règles de signature ne sont pas compatibles avec les workflows de release automatisés et mettent en doute l’amélioration de la sécurité.
  • La question de la signature des applications sur Windows et macOS devient de plus en plus problématique, et certains y voient une pression pour proposer plutôt des applications web.
  • Il est proposé que des services tiers fournissent la signature d’applications, mais certains se demandent si cela n’est pas interdit par les EULA.
  • Le fait qu’un projet largement utilisé comme ImageMagick ne puisse pas assumer le coût de la signature logicielle semble illustrer l’échec de l’industrie technologique à soutenir les projets open source.
  • Des développeurs partagent des méthodes pour signer des binaires Windows pour des projets open source et expriment leur frustration à l’idée de devoir payer pour ce processus.
  • De grandes entreprises technologiques comme Microsoft sont critiquées pour ne pas aider le monde du FOSS à distribuer sur leurs plateformes sans coûts ni lourdeurs administratives.
  • Certains développeurs ont trouvé des solutions aux nouvelles exigences de signature, mais se plaignent du manque d’informations et des coûts élevés.
  • SignPath est proposé comme solution potentielle pour la signature de code des projets open source.
  • Les développeurs souhaitent une baisse du coût des certificats de signature et remettent en question la nécessité de frais annuels aussi élevés.
  • La situation est comparée à la philosophie du « droit de lire », suggérant une « diminution de la propriété des logiciels ».