<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Den fre 21 juni 2019 15:33Michael Jackson <<a href="mailto:mike.jackson@bluequartz.net">mike.jackson@bluequartz.net</a>> skrev:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-1489129221629816917WordSection1"><p class="MsoNormal"><b><span style="font-size:12.0pt;color:black">From: </span></b><span style="font-size:12.0pt;color:black">Interest <<a href="mailto:interest-bounces@qt-project.org" target="_blank" rel="noreferrer">interest-bounces@qt-project.org</a>> on behalf of Elvis Stansvik <<a href="mailto:elvstone@gmail.com" target="_blank" rel="noreferrer">elvstone@gmail.com</a>><br><b>Date: </b>Friday, June 21, 2019 at 7:14 AM<br><b>To: </b>Kai Köhne <<a href="mailto:Kai.Koehne@qt.io" target="_blank" rel="noreferrer">Kai.Koehne@qt.io</a>><br><b>Cc: </b>Qt Interest <<a href="mailto:interest@qt-project.org" target="_blank" rel="noreferrer">interest@qt-project.org</a>><br><b>Subject: </b>Re: [Interest] notarizing builds for Mac - enabling hardened runtime<u></u><u></u></span></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><div><div><div><p class="MsoNormal">Den fre 21 juni 2019 09:13Kai Köhne <<a href="mailto:Kai.Koehne@qt.io" target="_blank" rel="noreferrer">Kai.Koehne@qt.io</a>> skrev:<u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><p class="MsoNormal">> -----Original Message-----<br>> From: Interest <<a href="mailto:interest-bounces@qt-project.org" target="_blank" rel="noreferrer">interest-bounces@qt-project.org</a>> On Behalf Of Hamish<br>> Moffatt<br>> Sent: Friday, June 21, 2019 8:42 AM<br>> To: Qt Interest <<a href="mailto:interest@qt-project.org" target="_blank" rel="noreferrer">interest@qt-project.org</a>><br>> Subject: [Interest] notarizing builds for Mac - enabling hardened runtime<br>> <br>> Apple says that all apps will need to be notarized (viewed) by them to be run<br>> on macOS 10.15 once released.<br>> <br>> Apps must have the hardened runtime enabled in Xcode before they can be<br>> notarized.<br>> <br>> Is there any way to get qmake to enable that project option?<br><br>I understand that the "hardened runtime" enabling happens at codesign time,<br>so this should arguably be a feature of macdeployqt. It's not there yet though,<br>at least according to <a href="https://bugreports.qt.io/browse/QTBUG-71291" target="_blank" rel="noreferrer">https://bugreports.qt.io/browse/QTBUG-71291</a> .  If you're<br>right that this will become mandatory for macOS 10.15, it arguably get a higher <br>priority; feel free to comment, including a link to the source of this statement.<br><br>For the time being, it seems you've to execute the codesign call yourself.<u></u><u></u></p></blockquote></div></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">This is what I've done at work to prepare our builds for this. We use CMake though and we're already running codesign manually.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">The notarization is annoying and takes around 5 minutes for Apple to run their virus scanners or whatever they're doing, so at the moment we're doing it only on Git-tagged CI builds (releases), not on every commit. What this gives us currently is that the macOS "do you want to run this" prompt will say "Was scanned by Apple on blah blah and found to look good" or something.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Will be more annoying if/when macOS starts to demand notarized builds, because then we'd need to do notarization of every commit, or force testers that wants to test a random build to turn off that checking (which I assume is still going to be possible through System Preferences).<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Apple, sigh, I can understand and sympathize requiring signed builds, but this mandatory "virus scanned by Apple" is a little silly. As a user I trust the virus scanner I pick myself more than some blackbox process on Apple HQ servers.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Elvis<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><p class="MsoNormal"><br>Regards<br><br>Kai<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p></blockquote></div></div></div><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">My guess is that macOS will allow you to “override” the need to have the app scanned just like you can do now by right-clicking the app and clicking “open”. They would have to or </p></div></div></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Yes, I guess so. And I guess that is what we'll ask of our beta testers (who regularly pull random builds to try out new features under development) to do, since having to notarize each commit is a bit much. I guess Apple will discourage such behavior anyway, considering the load it would put on their infra if everyone did so.</div><div dir="auto"><br></div><div dir="auto">Elvis</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-1489129221629816917WordSection1"><p class="MsoNormal">developers wouldn’t be able to run their own apps or testers wouldn’t be able to run test apps. I don’t think macOS has gone the full “App Store Only” model yet, those days are coming. Still it would be good to get a definitive answer through Apple docs as to whether Notarization is mandatory or just strongly encouraged.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">--<u></u><u></u></p><p class="MsoNormal">Mike Jackson<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p></div></div>
</blockquote></div></div></div>