Hacker News 中文摘要

RSS订阅

Homebrew不再允许绕过Gatekeeper安装未签名/未公证的软件 -- Homebrew no longer allows bypassing Gatekeeper for unsigned/unnotarized software

原文链接 | HN讨论 | 2025-11-13 08:57:39

文章摘要

Homebrew将移除--no-quarantine参数支持,该参数用于跳过macOS的隔离检查。这一变更旨在提高安全性,确保所有安装的软件包都经过系统安全检查。

文章总结

Homebrew 将移除 --no-quarantine 支持

主要内容: 1. 背景说明
Homebrew 计划移除 --no-quarantine 选项,该选项用于绕过 macOS 的 Gatekeeper 安全机制运行未签名/未公证的应用程序。随着 macOS Tahoe 成为最后一个支持 Intel 系统的版本,且苹果在 Apple Silicon 设备上强化了运行时保护(要求原生 arm64 代码必须有效签名),Homebrew 决定逐步淘汰此选项。

  1. 移除原因

    • 苹果已逐步限制 Gatekeeper 的绕过方式
    • Homebrew 计划在 2026 年 9 月 1 日停止支持所有无法通过 Gatekeeper 检查的软件包
    • 该选项直接规避系统级安全机制,与 Homebrew 提倡的安全实践相悖

  2. 影响范围

    • 主要影响依赖此选项的第三方软件源(taps)
    • GitHub Actions 的 macOS 运行环境已确认不受影响

  3. 争议点
    部分用户认为:

    • 保留该选项可避免维护者改用更不透明的 xattr 命令
    • 移除后会迫使高级用户完全禁用 Gatekeeper,反而降低安全性

  4. 维护者立场
    Homebrew 团队强调:

    • 不鼓励任何规避系统安全的行为
    • 用户仍可手动通过 xattr 命令解除隔离,但需自行承担风险
    • 将针对第三方软件源添加相关审计警告

  5. 时间节点
    该变更将在下一个主要/次要版本中实施,为用户提供过渡期。

(注:原文中大量 GitHub 界面导航、用户互动及重复性讨论内容已精简,保留核心决策逻辑和关键技术细节)

评论总结

评论总结

1. 对Homebrew变更的困惑与担忧

  • 用户对Homebrew移除--no-quarantine功能的具体影响表示困惑,尤其是对Linux版本和源码编译的影响。
    • "Does this affect the linux version of homebrew?" (评论1)
    • "Does this mean people won’t be able to use Homebrew to compile software from source?" (评论2)

2. 对Apple限制政策的批评

  • 用户认为Apple通过Gatekeeper逐步收紧控制,限制用户自由,类似于“温水煮青蛙”。
    • "Gatekeeper will ever so slowly tighten so that people don’t realise like a frog boiled in water." (评论3)
    • "Apple policy to prevent users from doing what they want because 'security'." (评论4)

3. 对Homebrew维护方式的争议

  • 部分用户批评Homebrew维护者态度强硬,缺乏沟通,且决策不符合用户需求。
    • "Homebrew is famous for making life hard for users... to live up to the personal preferences of the project leads." (评论15)
    • "The way they communicate with people is unacceptable." (评论25)

4. 技术影响与替代方案

  • 变更主要影响Intel Mac用户,ARM64 Mac已受限。部分用户考虑转向MacPorts或Linux。
    • "This mostly affects Intel systems." (评论5)
    • "I’m probably just going to ditch MacOS... and insist on a Linux-based workstation." (评论10)
    • "I use arm64 macports instead of homebrew." (评论13)

5. 安全与用户自由的平衡

  • 支持者认为强制签名提升安全性,反对者认为剥夺了用户选择权。
    • "I want them to enforce code-signing requirements... reduces the risk." (评论16)
    • "Software should serve the human, not the other way around." (评论9)

6. 对替代工具的推荐

  • 用户推荐其他工具如asdfmise或探索分叉Homebrew的可能性。
    • "Personally I use asdf to manage my software on Macs." (评论15)
    • "Anyone interested in forking homebrew?" (评论19)
    • "Just dropping this (mise) here for those who don’t know about it." (评论21)

7. 维护者的立场与用户感谢

  • 部分用户理解维护者的安全考量并表示感谢。
    • "Kudos to the maintainers taking on the hard parts of security." (评论20)
    • "This is basically a security + future-compatibility cleanup." (评论22)

关键分歧点

  • 支持者:认为变更符合安全趋势,且ARM64已是未来方向。
  • 反对者:认为Homebrew背离“用户自由”初衷,维护方式专断。
  • 中立者:建议技术替代方案(如手动签名或切换工具)。