macOS公证和多个嵌入式工具/捆绑包

我的产品是一个System Pref窗格，其中包含多个嵌入式应用程序来执行其工作，包括：

• 仅背景渲染器
• 处理菜单状态项的应用程序
• 用于检查更新的应用，因为系统首选项可能未运行
• 只需将系统Pref窗格复制到位的安装程序（需要此安装程序是因为存在阻止直接分发Pref窗格的代码签名错误）
• unix可执行文件重新启动工具，用于在更新期间处理加载到系统首选项中的操作。这件事似乎不可能做公证

我有一个很好的Xcode脚本，它将所有这些打包在一起。有了公证，我现在是否需要从最深的一点开始分别对每一项进行公证？这听起来像是一个大麻烦，因为苹果公司要求的延迟/轮询很难实现自动化

仅仅公证最外面的容器就足够了吗

---

我正在寻找在一个应用程序包中有多个可执行文件的其他应用程序对公证处理的建议。

每个嵌套的帮助程序应用程序可以先进行代码签名，而外部应用程序则使用

--preserve metadata

进行深度代码签名。然后可以对外部应用程序进行公证。如果创建一个包含可执行文件、Info.plist和可能的authorights.plist的迷你捆绑文件夹，则可以对unix可执行文件进行代码签名。您可以公证捆绑包的

同上

.zip，以及

订书机订书钉

迷你捆绑包。但我发现，对于继承的安全性，只要内部应用程序保留了各自的子应用程序代码签名元数据，外部应用程序就需要公证人

您可以公证顶级包（zip、dmg、pkg） 发件人：

公证处接受平面签名的磁盘图像（UDIF格式） 安装程序包和ZIP存档它处理嵌套容器 以及，就像磁盘映像中的包一样

---

我投票结束这个问题，因为这是一个供应商客户服务问题，而不是一个编程问题。我认为这是一个编程问题，尤其是因为似乎没有办法对unix可执行文件进行公证。如何使用altool执行此操作？最外层的应用程序是安装程序，因此它将只运行一次，以便将嵌入的.prefPane复制到系统首选项（~/Library/PreferencePanes）中。现在所有的东西都是由内而外签名的，但是我想知道我是否需要分别对.prefPane和安装程序进行公证。在我的10.15测试机上，缺少公证（即使在安装程序上）似乎也不会阻止运行。