Як запустити застосунки поза межами системних політик безпеки в macOS Sequoia

macOS від Apple є однією з найзахищеніших операційних систем у світі. Проте жодна операційна система не є захищеною на 100%, і можливі порушення безпеки.

За останнє десятиліття Apple додала кілька додаткових функцій безпеки до macOS, які допомагають підвищити безпеку. До них відносяться, але не обмежуються:

• Ідентифікатор розробника (Developer ID)
• Gatekeeper
• Нотаріалізація додатків
• Цифрові підписи додатків
• Захист цілісності системи (System Integrity Protection, SIP)

Ідентифікатор розробника та Gatekeeper — це дві функції безпеки, пов'язані з додатками, які перевіряють та авторизують додатки на Mac, щоб дозволити або заборонити їх запуск. Gatekeeper запобігає запуску додатків, якщо вони не підтверджені як такі, що походять від зареєстрованого розробника Apple або з Mac App Store.

Також можливо запускати додатки лише з Ідентифікатором розробника, якщо вони були завантажені поза Mac App Store і пройшли перевірку Apple.

Gatekeeper - це те, що викликає появу вікна прогресу "Перевірка" у Finder при першому запуску новозавантаженого додатка. Це вікно з'являється, коли Gatekeeper перевіряє підписані цифрові квитанції всіх компонентів додатка при його першому запуску.

У програмі Системні налаштування macOS ви можете вибрати, чи дозволяти запускати лише додатки, перевірені Gatekeeper (App Store). Ви також можете дозволити запуск додатків від зареєстрованих розробників Apple через Developer ID.

Якщо ви спробуєте запустити додаток macOS без жодної з цих функцій безпеки, ви отримаєте сповіщення у Finder macOS про те, що додаток не може бути відкритий. Щоб обійти це попередження, натисніть Готово, потім поверніться до Системних параметрів -> Приватність і Безпека і натисніть кнопку Відкрити все одно.

Нотаризація додатків додає безпеку до Mac-додатків та образів дисків, дозволяючи Apple перевіряти, що вони не містять шкідливих компонентів.

Цифровий підпис додатка - це зашифроване підписання додатка для Mac під час його створення розробником, а також коли його завантажують з Mac App Store. Цифрові підписи гарантують, що додаток не є підробкою, і що його вміст не було змінено після розповсюдження.

Захист цілісності системи (SIP) - це функція безпеки на рівні системи, яку Apple додала до macOS 10.11 El Capitan у 2015 році. SIP захищає критичні системні файли операційної системи від змін, а також частини macOS навіть від користувача root UNIX, якщо вона увімкнена.

SIP можна вимкнути та знову ввімкнути в додатку Terminal macOS, але Apple не рекомендує це робити, оскільки це відкриває ваш Mac для ризиків безпеки.

Разом ці компоненти безпеки відомі як Захист у час виконання в macOS.

Додаток Термінал

Apple надає інші захисти часу виконання для автономних бінарних застосунків, які запускають програму Термінал. До них відносяться розширені атрибути (xattrs) та інші системні захисти.

Деякі програми командного рядка Terminal можуть не мати дозволу на запуск за умовчанням системних політик безпеки. Apple робить це для захисту користувачів від неперевірених шкідливих сторонніх засобів командного рядка Термінал.

Ці обмеження застосовуються лише до деяких програм.

У деяких випадках звичайні подвійним кліком запускані програми macOS можуть потребувати запуску окремих командних інструментів або інших програмних компонентів.

Дозволення програмам запускати інші програми

Якщо ви хочете запустити додаток, що потребує роботи поза системними політиками безпеки macOS у macOS Sequoia, поверніться до панелі Системні параметри -> Приватність і безпека. Вам потрібно перевірити кожну підсторінку, щоб знайти перемикач для увімкнення.

Наприклад, деякі інструменти для розробників командного рядка потребують роботи поза системними політиками безпеки для виконання інших команд, обробки файлів або виконання інших обмежених дій.

У цьому прикладі перейдіть до Системні параметри -> Приватність і безпека-> Інструменти розробника, і ви побачите наступний перемикач:

На жаль, у macOS наразі немає способу увімкнути це для всієї машини, і, напевно, не повинно бути, оскільки це піддасть ваш Mac іншим ризикам безпеки.

Але можливо увімкнути це для кожного додатку окремо - якщо додаток підтримує цю функцію. Знову ж таки, ця функція не буде доступна для всіх додатків, тому вам потрібно перевірити кожен додаток окремо.

У більшості випадків вам не потрібно буде перевизначати політики безпеки macOS, але для деяких додатків у певних випадках ви можете цього захотіти.

Для отримання додаткової інформації про Gatekeeper і захист під час виконання в macOS дивіться відповідний розділ в Apple Platform Security guide.

Для повного резюме про Gatekeeper, Developer ID та використання Системних налаштувань для відкриття додатків дивіться Technote 102445 від Apple, Безпечно відкривайте додатки на вашому Mac.