by 樽井 秀人
「やじうまの杜」では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
Microsoftがエンドツーエンドのコードサイニング(署名)ソリューションをヒッソリとリリースし、6月まではプレビューとして無償で提供しているとのこと。同社のScott Hanselman氏が、自身の「X」(Twitter)アカウントで紹介してくれています。
コードサイニング証明書は、アプリにデジタル署名を施して配布元を明らかにし、配布の途中でなりすましや内容の改竄が行われていないことを保証する仕組みです。近年はセキュリティの強化により、コードサイニングのないアプリが「Smart App Control」や「SmartScreen」といったセキュリティ機能にブロックされたり、マルウェア扱いされることが多く、フリーのオンラインソフトを開発しているデベロッパーにとっては頭痛のタネになっています。アプリに署名するのが最善ですが、それには結構なおカネ(最低でも数万円が定期的に)と手間(個人相手に発行してもらえない場合は、会社の設立など)がかかります。
実際、Scott Hanselman氏の投稿に反応した「Paint.net」の開発者は、DigiCertやComodoといった大手コード署名証明書プロバイダーのサポートが酷く、また証明書が高価であることを嘆いています。
今回リリースされたコードサイニングソリューションは「Trusted Signing」(旧称:Azure Code Signing)と呼ばれており、Microsoftが開発者向けにフルマネージド、つまりユーザーに代わって面倒な管理をすべて行ってくれる形で提供されます。「Windows SDK」などに含まれる署名ツール「SignTool.exe」や、「GitHub」「Visual Studio」などのCI/CDパイプラインとも相性がよく、月額9.99米ドルからと比較的安価に利用できるのが特徴です。
これならば、個人のオンラインソフト開発者にとって最良のソリューションとなりえるかもしれません。