No ambiente de desenvolvimento Apple, a segurança e a autenticidade dos pacotes de software são de extrema importância. Uma das ferramentas que a Apple fornece para garantir que os pacotes de software são assinados digitalmente é o productsign. Esta ferramenta é usada para assinar pacotes de instalação (.pkg) e garantir que eles não foram alterados desde que foram assinados.

Neste artigo, vamos explorar como usar o productsign para assinar pacotes no macOS, fornecendo exemplos práticos e detalhados para que você possa aplicar em seus próprios projetos.

O que é o productsign?

O productsign é uma ferramenta de linha de comando fornecida pela Apple que permite assinar digitalmente pacotes de instalação (.pkg). A assinatura digital garante que o pacote não foi alterado desde que foi assinado e que ele foi criado por uma fonte confiável.

Pré-requisitos

Antes de começar, você precisará de:

1. Um certificado de desenvolvedor da Apple. Você pode obter isso através do Apple Developer Program.
2. Um pacote de instalação (.pkg) que você deseja assinar.

Como usar o productsign

Passo 1: Obtenha o identificador do seu certificado

Primeiro, você precisa obter o identificador do seu certificado de desenvolvedor. Você pode listar todos os certificados disponíveis no seu sistema usando o comando security find-identity.

security find-identity -v -p codesigning

Este comando listará todos os certificados de assinatura de código disponíveis no seu chaveiro, juntamente com seus identificadores. O identificador é uma string longa que você precisará para o próximo passo.

Passo 2: Assine o pacote

Com o identificador do certificado em mãos, você pode usar o productsign para assinar seu pacote. O comando básico é:

productsign --sign "IDENTIFICADOR_DO_CERTIFICADO" caminho/para/seu/pacote.pkg caminho/para/pacote_assinado.pkg

Substitua IDENTIFICADOR_DO_CERTIFICADO pelo identificador que você obteve no passo anterior, caminho/para/seu/pacote.pkg pelo caminho para o seu pacote original, e caminho/para/pacote_assinado.pkg pelo caminho onde você deseja salvar o pacote assinado.

Exemplo Completo

Vamos supor que você tem um pacote chamado MyAppInstaller.pkg e você deseja assiná-lo. Primeiro, você obtém o identificador do seu certificado:

security find-identity -v -p codesigning

Suponha que o identificador do seu certificado é 3A1B2C3D4E5F6G7H8I9J0K1L2M3N4O5P6Q7R8S9T0U. Você então usaria o seguinte comando para assinar o pacote:

productsign --sign "3A1B2C3D4E5F6G7H8I9J0K1L2M3N4O5P6Q7R8S9T0U" MyAppInstaller.pkg MyAppInstaller_signed.pkg

Após a execução do comando, você terá um pacote assinado chamado MyAppInstaller_signed.pkg.

Verificando a Assinatura

Para garantir que o pacote foi corretamente assinado, você pode usar o comando pkgutil:

pkgutil --check-signature MyAppInstaller_signed.pkg

Este comando verificará a assinatura do pacote e fornecerá informações sobre o certificado usado para assiná-lo.

Conclusão

Assinar pacotes de instalação é uma prática essencial para garantir a segurança e a integridade do software distribuído. Usando a ferramenta productsign no macOS, você pode facilmente assinar seus pacotes e garantir que eles são confiáveis e não foram alterados.