可可沙箱嵌入式命令行不起作用

Posted 2023-02-24

【中文标题】可可沙箱嵌入式命令行不起作用

【英文标题】：cocoa sandbox embedded command line not work

【发布时间】：2014-05-10 05:36:17

【问题描述】：

我有一个第三方命令行工具，它从一个主要的 cocoa 应用程序启动，该应用程序将在 Mac App Store 中分发。

我需要沙箱第三方命令行工具，但是当我运行它（使用 NSTask）时，它崩溃并出现错误

“应用程序特定签名：容器对象初始化失败：未能获取应用程序 XXX 的 bundleid”

（在控制台中我可以看到以下错误消息）。 这是我在主可可应用程序中所做的：

NSTask* task          = [[NSTask alloc]init];
NSString* commandPath = [[[NSBundle mainBundle] resourcePath] stringByAppendingPathComponent:@"command"];
task.launchPath       = commandPath;
[task setArguments:args];
[task launch];

每次我运行它时，都会出现一个弹出窗口，其中显示“OS X 需要修复您的库才能运行应用程序。输入您的密码以允许此操作。”我已经使用以下命令签署了这个命令行工具：

codesign --entitlements ./XXX.entitlements -s "3rd Party Mac Developer Application: XXX" ./commandlinetool 

为确保，我使用此命令仔细检查了它：

codesign --display --entitlements - ./commandlinetool  

这里是信息：

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>com.apple.security.app-sandbox</key>
    <true/>
    <key>com.apple.security.files.downloads.read-write</key>
    <true/>
    <key>com.apple.security.files.user-selected.read-write</key>
    <true/>
    <key>com.apple.security.network.client</key>
    <true/>
</dict>
</plist>

我也检查了这个命令：

codesign --display --verbose=4 XXX

并获得了以下信息：

Identifier=com.XXX.XXX.XXX
Format=Mach-O thin (x86_64)
CodeDirectory v=20100 size=75902 flags=0x0(none) hashes=3786+5 location=embedded
Hash type=sha1 size=20
CDHash=24fdcb9b5444a91f60xxxxx3a66bafa7030109e63fb1c
Signature size=4347
Authority=3rd Party Mac Developer Application: XXX
Authority=Apple Worldwide Developer Relations Certification Authority
Authority=Apple Root CA
Signed Time=May 10, 2014, 12:04:34 PM
Info.plist=not bound
Sealed Resources=none
Internal requirements count=1 size=216

我也尝试在命令行工具中添加一个info.plist文件，按本章步骤enter link description here但没有任何反应，Info.plist的结果仍然是“没有绑定”。

如何沙盒第三方命令行工具以及如何将info.plist文件添加到命令行工具？我错过了什么？ 有人可以帮助我吗？任何帮助或指点将不胜感激。

【问题讨论】：

该应用是与 Mac App Store 一起分发的吗？

是的，有问题吗？

一点也不。我相应地更改了标签，以使您的问题更具可见性。

非常感谢！我真的很感激。

我建议查看其他 MAS 应用程序在类似情况下所做的示例。您是否使用任何应用程序来做您想做的事情？

【参考方案1】：

好久没注意到这个问题，还是有人问我怎么办。

根据 Apple 开发文档。

If your app employs a child process created with either the posix_spawn function or the NSTask class, you can configure the child process to inherit the sandbox of its parent. However, using a child process does not provide the security afforded by using an XPC service.

因此，您应该使用以下权利对您的嵌入式命令行进行签名：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>com.apple.security.app-sandbox</key>
    <true/>
    <key>com.apple.security.inherit</key>
    <true/>
</dict>
</plist>

现在您的应用可以运行了！