![\"\"\/](\"https:\/\/blog.xojo.com\/wp-content\/uploads\/2024\/08\/1-Container.png\")
<\/figure>\n<\/div>\n\n\n<\/p>\n\n\n\n
Por supuesto, te estar\u00e1n esperando algunos entitlements<\/a> requeridos para que tu app con Sandblxing aplicado pueda acceder a los archivos creados por otras apps (incluyendo el Escritorio, la carpeta de Descargas, Pel\u00edculas, M\u00fasica, im\u00e1genes, etc), entre otras cosas.<\/p>\n\n\n\n Cuando se activa para tu app macOS, el Hardened Runtime a\u00f1ade una capa extra de protecci\u00f3n al c\u00f3digo en ejecuci\u00f3n propiamente dicho. Por ejemplo, evita cierta clase de explouts, como la inyecci\u00f3n de c\u00f3digo, el secuestro de biblioteca vinculada din\u00e1micamente (DLL) y la manipulaci\u00f3n del espacio de memoria del proceso. Este tipo de protecci\u00f3n tambi\u00e9n se mejora mediante la Protecci\u00f3n de Integridad del Sistema en macOS (SIP).<\/a><\/p>\n\n\n\n En resumen, se trata de una tercera capa de confianza para los potenciales usuarios de tu app macOS. Cuando la app est\u00e1 notarizada, esto asegura que el software firmado con un Identificador de Desarrollador determinado ha sido comprobado por Apple en busca de componentes maliciosos. No est\u00e1 relacionado con el proceso de revisi\u00f3n realizado por Apple cuando se env\u00eda la app para su distribuci\u00f3n a la Mac app Store, sino con la tecnolog\u00eda Gatekeeper de macOS<\/a>. Por tanto, cuando una app notarizada se descarga de Internet, Gatekeeper utilizar\u00e1 el ticket de notarizaci\u00f3n asociado con la app o archivo DMG para proporcionar una informaci\u00f3n m\u00e1s significativa sobre el origen de la app, incluyendo el hecho de si es seguro o no su ejecuci\u00f3n.<\/p>\n\n\n <\/p>\n\n\n\n Para poder seguir este art\u00edculo necesitaras:<\/p>\n\n\n\n Con todos estos requisitos cumplidos, abre Xojo para crear un proyecto Desktop para macOS y crea un dise\u00f1o b\u00e1sico en la ventana por omisi\u00f3n. No es preciso que la app ofrezca ninguna funcionalidad en absoluto para mantener nuestro foco en el tema que estamos tratando. Luego, utiliza Build Settings > macOS > Mac App Name para proporcionar un nombre a la aplicaci\u00f3n cuando se compile (para este ejemplo utilizaremos “SandboxedApp”). Si compilas la app de macOS con otra herramienta, el resultado ha de ser un bundle est\u00e1ndar de app para macOS.<\/p>\n\n\n <\/p>\n\n\n\n Por \u00faltimo, guarda el proyecto desde el IDE de Xojo (por ejemplo en la carpeta Documentos), y haz clic en el boton Build para compilar la app. En este punto no se requiere la asignaci\u00f3n del valor Developer ID que deber\u00eda de introducirse en la secci\u00f3n Build Settings > macOS > Sign, dado que la firmaremos (de nuevo) en los siguientes pasos.<\/p>\n\n\n\n El archivo de entitlements es muy similar al archivo Info.plist que probablemente ya conozcas, encargado de contener los pares de clave\/valor para que la app funcione correctamente. El contenido de ambos archivos est\u00e1 en formato XML, y la \u00fanica diferencia es que, mientras que el archivo Info.plist est\u00e1 generado autom\u00e1ticamente por Xojo, en el caso del archivo Entitlements deber\u00e1s de crearlo manualmente tu utilizando tu editor de textos preferido.<\/p>\n\n\n\n Por tanto, abre el editor de textos (existen muchas opciones, tanto gratuitas como de pago; personalmente tiendo a utilizar BBEdit de BareBones Software). A\u00f1ade las siguientes l\u00edneas de c\u00f3digo en el documento de texto y gu\u00e1rdalo con el nombre “Entitlements.plist” (si lo guardas en la misma carpeta que la utilizada a la hora de compilar tu app macOS, mejor). Este es el archivo en el que probablemente querr\u00e1s a\u00f1adir m\u00e1s entradas en funci\u00f3n de los requerimientos espec\u00edficos de tu app:<\/p>\n\n\n\n Con la app compilada y el archivo de entitlements ya creado, abre una ventana del Terminal y escribe el siguiente comando, pulsando a continuaci\u00f3n la tecla retorno:<\/p>\n\n\n\n Una vez ejecutado el comando, ejecuta la app “SanboxedApp”, abre la app Monitor de Actividad y aseg\u00farate de que la opci\u00f3n Sandbox est\u00e9 activada en las opciones del men\u00fa Ver > Columnas. Luego, utiliza el campo de b\u00fasquedas de la ventana principal para filtrar los procesos mostrados de modo que s\u00f3lo se liste tu app. Echa un vistazo al valor bajo la columna Sandbox y ver\u00e1s que la app se muestra ahora con el Sandboxing aplicado. Tambi\u00e9n puedes comprobar que se ha creado un Contendor para la app en la ruta Library\/Containers. Sal de la app de ejemplo cuando est\u00e9s listo.<\/p>\n\n\n <\/p>\n\n\n\n Con nuestra app con el Sandboxing ya aplicado, veamos ahora como aplicarle la opci\u00f3n de Hardener Runtime. Nuevamente, escribe el siguiente comando en la l\u00ednea de comandos del Terminal:<\/p>\n\n\n\n Como puedes ver, no var\u00eda mucho con respecto al anterior comando. Todo lo que a\u00f1ade es el texto “-options runtime” responsable de activar el Hardened Runtime. Como puedes imaginar, este comando tambi\u00e9n activa el Sandboxing de la app al tiempo que activa el Hardened Runtime, ambas cosas a la vez.<\/p>\n\n\n\n \u00bfQuieres comprobar si ha funcionado correctamente? Bien, escribe el siguiente comando en el Terminal:<\/p>\n\n\n\n Producir\u00e1 una salida similar a la siguiente:<\/p>\n\n\n\n Es espec\u00edficamente el texto \u201cflags=0x1000(runtime)\u201d el que nos indica que, de hecho, la app cuenta con el Hardened Runtime activado. \u00a1Enhorabuena!<\/p>\n\n\n\n Se trata del \u00faltimo paso, pero va a requerir de un paso adicional por nuestra parte. Dado que la l\u00ednea de comandos notarytool, empleada para notarizar la app, requiere del uso del ID y la contrase\u00f1a correspondientes a tu cuenta Apple ID, sumado al hecho que utiliza la autenticaci\u00f3n 2FA, resulta muy conveniente crear una contrase\u00f1a espec\u00edfica de aplicaci\u00f3n para ello.<\/p>\n\n\n\n Sigue estos pasos para crear la contrase\u00f1a utilizada por el proceso notarytool:<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Dado que esta contrase\u00f1a espec\u00edfica de aplicaci\u00f3n se utilizar\u00e1 por la utilidad notarytool en la l\u00ednea de comandos, ser\u00e1 m\u00e1s que conveniente almacenarla en el Llavero de macOS. Para ello, escribe el siguiente comando en el Terminal y pulsa la tecla Retorno:<\/p>\n\n\n\n Una vez ejecutado podr\u00e1s ver la contrase\u00f1a a\u00f1adida en la app Llavero bajo el nombre de \u201cnotarytool-password\u201d:<\/p>\n\n\n <\/p>\n\n\n\n El proceso de notarizaci\u00f3n es realizado por el servicio de notarizaci\u00f3n de Apple ejecutado en sus servidores; esto es, en Internet; lo que significa que notarytool necesita enviar (subir) el bundle de tu app en un formato de archivo apropiado. Existen dos opciones: como archivo DMG (que ha de ser firmado antes de subirlo), o bien como archivo Zip, que es m\u00e1s r\u00e1pido y tambi\u00e9n sencillo (\u00bfsabes cu\u00e1n sencillo es crear archivos Zip en el lenguaje de programaci\u00f3n Xojo?).<\/p>\n\n\n\n Por tanto, para poder subir nuestra app para notarizarla, hemos de crear un archivo Zip en primer lugar. Nuevamente, es momento de introducir un nuevo comando en el Terminal:<\/p>\n\n\n\n Con el archivo Zip ya creado, ya tenemos todas la piezas para enviarla al proceso de notarizaci\u00f3n. El tiempo invertido por dicho proceso puede variar (y lo har\u00e1) atendiendo a diversos factores.<\/p>\n\n\n\n Para enviar el archivo, escribe el siguiente comando en la ventana del Terminal:<\/p>\n\n\n\n Tras pulsar la tecla de Retorno comenzar\u00e1 el proceso y el Terminal te mostrar\u00e1 informaci\u00f3n sobre el progreso; algo similar a esto:<\/p>\n\n\n\n \u00bfHas observado la \u00faltima l\u00ednea? El texto “status: Accepted” significa que todo ha funcionado correctamente y que el proceso de notarizaci\u00f3n ha tenido \u00e9xito; pero, \u00a1mejor si lo comprobamos! Escribe el siguiente comando en la ventana del Terminal. Este indicar\u00e1 a la herramienta notarytool que descargue el archivo de registro en formato JSON y que lo guarde en la ruta indicada. Es un buen h\u00e1bito hacerlo, ya que dicho archivo de registro tambi\u00e9n incluir\u00e1 cualquier error eventual y la explicaci\u00f3n sobre dichos posibles errores encontrados durante el proceso de notarizaci\u00f3n, incluyendo aquellos relacionados con la app propiamente dicha:<\/p>\n\n\n\n Asumiendo que todo haya funcionado correctamente, es el momento de “grapar” el ticket de notarizaci\u00f3n sobre la app propiamente dicha. No es requerido, pero s\u00ed conveniente para evitar posteriores comprobaciones en l\u00ednea cuando el usuario ejecute la app o Gatekeeper la inspeccione.<\/p>\n\n\n\n Lo has adivinado, esto significa ejecutar un nuevo comando desde la ventana del Terminal sobre la app en la que ya se ha aplicado Sandboxing y Hardened Runtime (no sobre el archivo Zip que has creado y enviado utilizando notarytool):<\/p>\n\n\n\n Tras esto, puedes comprobar que todo ha funcionado correctamente utilizando el siguiente comando:<\/p>\n\n\n\n Y ver\u00e1s una salida similar a la siguiente:<\/p>\n\n\n\n Correcto, pero probablemente querr\u00e1s distribuir tu app en Internet utilizando un contenedor DMG. En este caso, sigue estos pasos:<\/p>\n\n\n\n De esa forma el contenedor DMG estar\u00e1 notarizado junto con el bundle de la app que contiene.<\/p>\n\n\n\n Como hemos visto, todo el proceso, desde la aplicaci\u00f3n de Sandboxing, la aplicaci\u00f3n de Hardened Runtime y la Notarizaci\u00f3n, implica una buena cantidad de comandos desde el Terminal, incluyendo la creaci\u00f3n de un archivo Zip. Pero la buena noticia es que todo este proceso puede automatizarse en las versiones de Xojo anteriores a Xojo 2024r4, ya que a partir de dicha versi\u00f3n todos estos procesos est\u00e1n automatizados y disponibles desde el propio IDE.<\/p>\n\n\n\n Como se ha dicho al principio, este art\u00edculo s\u00f3lo toca los fundamentos y no profundiza sobre la creaci\u00f3n de los Perfiles de Aprovisionamiento (asociados con las capacidades requeridas por la app), los Entitlements que tu app pueda requerir para su correcto funcionamiento, o cualquier otro tema relacionado; de modo que probablemente encuentres de inter\u00e9s la siguiente documentaci\u00f3n disponible en el portal Apple Developer:<\/p>\n\n\n\n \u00a1Feliz Programaci\u00f3n!<\/p>\n","protected":false},"excerpt":{"rendered":"Hardened Runtime<\/h2>\n\n\n\n
Notarizaci\u00f3n<\/h2>\n\n\n\n
![\"\"\/](\"https:\/\/blog.xojo.com\/wp-content\/uploads\/2024\/08\/2-Gatekeeper.png\")
<\/figure>\n<\/div>\n\n\nPreparaci\u00f3n<\/h2>\n\n\n\n
\n
![\"\"\/](\"https:\/\/blog.xojo.com\/wp-content\/uploads\/2024\/08\/3-XojoProjectName.png\")
<\/figure>\n<\/div>\n\n\nCrear el archivo de Entitlements<\/h2>\n\n\n\n
<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<!DOCTYPE plist SYSTEM \"file:\/\/localhost\/System\/Library\/DTDs\/PropertyList.dtd\">\n<plist version=\"0.9\">\n<dict>\n <key>com.apple.security.app-sandbox<\/key>\n <true\/>\n<\/dict>\n<\/plist><\/pre>\n\n\n\n
Aplica Sandboxing a tu App<\/h2>\n\n\n\n
> codesign --force --deep --timestamp --entitlements <ruta-al archivo-entitlements.plist> -s \"Developer ID Application: <tu-nombre-completo-de-desarrollador (incluyendo-el-id-de-equipo)>\" <ruta-al-bundle-de-tu-app><\/pre>\n\n\n\n
![\"\"\/](\"https:\/\/blog.xojo.com\/wp-content\/uploads\/2024\/08\/4-Sandbox.png\")
<\/figure>\n<\/div>\n\n\nHardened Runtime<\/h2>\n\n\n\n
> codesign --force --deep --options runtime --timestamp --entitlements <ruta-a-tu-archivo-entitlements.plist -s \"Developer ID Application: <tu-nombre-completo-de-desarrollador (incluyendo-el-id-de-equipo)>\" <ruta-al-bundle-de-tu-app><\/pre>\n\n\n\n
> codesign --display --verbose <ruta-al-bundle-de-tu-app><\/pre>\n\n\n\n
Executable=<ruta-al-bundle-de-tu-app>\nIdentifier=com.xojo.sandboxedapp\nFormat=app bundle with Mach-O universal (x86_64 arm64)\nCodeDirectory v=20500 size=43297 flags=0x10000(runtime)<\/strong> hashes=1342+7 location=embedded\nSignature size=9100\nTimestamp=13 Aug 2024 at 12:51:28\u202fPM\nInfo.plist entries=15\nTeamIdentifier=************\nRuntime Version=11.1.0\nSealed Resources version=2 rules=13 files=4\nInternal requirements count=1 size=184<\/pre>\n\n\n\n
Notarizar la App<\/h2>\n\n\n\n
Crear una Contrase\u00f1a Espec\u00edfica de Aplicaci\u00f3n<\/h2>\n\n\n\n
\n
![\"\"\/](\"https:\/\/blog.xojo.com\/wp-content\/uploads\/2024\/08\/5-AppSpecificPasswordA.png\")
<\/figure>\n<\/div>\n\n\n\n
![\"\"\/](\"https:\/\/blog.xojo.com\/wp-content\/uploads\/2024\/08\/6-AppSpecificPasswordB.png\")
<\/figure>\n<\/div>\n\n\n\n
![\"\"\/](\"https:\/\/blog.xojo.com\/wp-content\/uploads\/2024\/08\/7-AppSpecificPasswordC.png\")
<\/figure>\n<\/div>\n\n\n\n
A\u00f1adir al Llavero la contrase\u00f1a espec\u00edfica de notarytool<\/h2>\n\n\n\n
> xcrun notarytool store-credentials \"notarytool-password\" --apple-id \"<tu-Apple-ID>\" --team-id <tu-team-id> --password <la-contrase\u00f1a-copiada-en-el-paso-anterior><\/pre>\n\n\n\n
![\"\"\/](\"https:\/\/blog.xojo.com\/wp-content\/uploads\/2024\/08\/8-NotaryToolPassword.png\")
<\/figure>\n<\/div>\n\n\nCrear un archivo Zip para la app<\/h2>\n\n\n\n
> \/usr\/bin\/ditto -c -k --keepParent <ruta-al-bundle-de-tu-app> <ruta-al-archivo-donde-guardar-el-zip\/nombre-de-archivo.zip><\/pre>\n\n\n\n
Subir la app para Notarizar<\/h2>\n\n\n\n
> xcrun notarytool submit <ruta-al-archivo-donde-guardar-el-zip\/nombre-de-archivo.zip> --keychain-profile \"notarytool-password\" --wait<\/pre>\n\n\n\n
Conducting pre-submission checks for <nombre-de-tu-archivo-zip> and initiating connection to the Apple notary service...\nSubmission ID received\n id: <some-id-number-goes-here>\nUpload progress: 100.00% (8.65 MB of 8.65 MB) \nSuccessfully uploaded file\n id: <some-id-number-goes-here>\n path: <path-of-the-zip-file>\nWaiting for processing to complete.\nCurrent status: Accepted........\nProcessing complete\n id: <guarda-este-id-en-un-lugar-seguro-lo-necesitar\u00e1s-luego>\n status: Accepted<\/strong><\/pre>\n\n\n\n
> xcrun notarytool log <escribe-aqui-el-valor-guardado-en-lugar-seguro-correspondiente-al-campo-id-de-la-salida-anterior> --keychain-profile \"notarytool-password\" <ruta-para-guardar-el-registro.json><\/pre>\n\n\n\n
\u00a1Grapa el Ticket!<\/h2>\n\n\n\n
> xcrun stapler staple \"<ruta-al-bundle-de-la-app-firmada-con-sandboxing-y-hardened-runtime>\"<\/pre>\n\n\n\n
> spctl -a -vvv -t install <ruta-al-bundle-de-la-app-firmada-con-sandboxing-y-hardened-runtime><\/pre>\n\n\n\n
source=Notarized Developer ID\norigin=<el-developer-id-completo><\/pre>\n\n\n\n
Distribuci\u00f3n de la App<\/h2>\n\n\n\n
\n
Conclusiones<\/h2>\n\n\n\n
\n