ImageMagick का Windows इंस्टॉलर अब आगे से signed नहीं रहेगा

 (github.com/ImageMagick)
1 पॉइंट द्वारा GN⁺ 2023-10-30 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • ImageMagick का Windows इंस्टॉलर code signing certificate की अवधि समाप्त होने के कारण अब signed नहीं रहेगा.
  • यह certificate पहले LeaderSSL द्वारा sponsor किया गया था, लेकिन अब ऐसा संभव नहीं है.
  • CA/B Forum ने जून 2023 के बाद से नई requirements लागू की हैं, जिनके अनुसार OV code signing private keys को FIPS 140-2 Level 2 या Common Criteria Level EAL4+ certified device में store किया जाना चाहिए.
  • इस बदलाव के कारण ImageMagick अब GitHub Actions में उपयोग के लिए code signing certificate और उसकी private key को export नहीं कर सकता.
  • ImageMagick, GitHub के साथ integrate होने वाले Digicert जैसे cloud solution के उपयोग पर विचार कर रहा है, लेकिन इसकी लागत एक वर्ष के लिए $629 (tax अतिरिक्त) होगी.
  • टीम code signing certificate के लिए sponsorship प्राप्त कर सकती है, और रुचि रखने वाले संगठनों से संपर्क करने का आग्रह करती है.
  • यह बदलाव केवल .exe इंस्टॉलर पर ही नहीं, बल्कि code signing certificate से signed सभी binaries पर असर डालेगा.
  • कई community members ने SignPath, Azure Key Vault, और Azure Code Signing जैसे alternatives सुझाए हैं.
  • टीम इन कम लागत वाले विकल्पों की जांच कर रही है और संभावित समाधान के लिए AzureCodeSigningTAP से संपर्क किया है.
  • चर्चा में GitHub Actions में files को sign करने के लिए AzureSignTool और https://github.com/dotnet/sign जैसे tools के उपयोग पर भी जोर दिया गया है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-10-30
Hacker News की राय
  • ImageMagick के Windows installer अब आगे से signed नहीं होंगे, जिससे डेवलपर्स के बीच असंतोष बढ़ रहा है.
  • डेवलपर्स open source software के लिए LetsEncrypt-स्टाइल सेवा की ज़रूरत जताते हैं, लेकिन यह Microsoft और Apple के हितों के खिलाफ लगता है.
  • कुछ डेवलपर्स का कहना है कि नए signing rules automated release workflow के साथ compatible नहीं हैं, और वे सुरक्षा में वास्तविक सुधार पर सवाल उठाते हैं.
  • Windows और MacOS पर application signing की समस्या लगातार गंभीर होती जा रही है, और कुछ लोगों का मानना है कि इससे web apps की ओर धक्का मिलता है.
  • application signing देने वाली third-party services का सुझाव दिया गया है, लेकिन इस पर सवाल है कि क्या यह EULA में प्रतिबंधित है.
  • व्यापक रूप से इस्तेमाल होने वाले प्रोजेक्ट ImageMagick का software signing का खर्च न उठा पाना इस बात का संकेत माना जा रहा है कि tech industry open source projects को समर्थन देने में विफल रही है.
  • डेवलपर्स open source projects के लिए Windows binary signing के तरीके साझा कर रहे हैं, साथ ही इस प्रक्रिया के लिए भुगतान करना पड़ने पर नाराज़गी भी जता रहे हैं.
  • Microsoft जैसी बड़ी tech कंपनियों की इस बात के लिए आलोचना हो रही है कि वे FOSS दुनिया को अपने platform पर बिना लागत या झंझट के distribute करने में समर्थन नहीं देतीं.
  • कुछ डेवलपर्स ने नए signing requirements के समाधान ढूंढ लिए हैं, लेकिन वे जानकारी की कमी और ऊंची लागत को लेकर असंतोष जताते हैं.
  • SignPath को open source projects के लिए code signing के एक संभावित समाधान के रूप में सुझाया गया है.
  • डेवलपर्स signing certificates की लागत कम करना चाहते हैं और ऊंची annual fees की आवश्यकता पर सवाल उठाते हैं.
  • इस स्थिति की तुलना 'सॉफ्टवेयर पर स्वामित्व में कमी' का संकेत देने वाले 'पढ़ने के अधिकार' के दर्शन से की जा रही है.