问题背景

fork 了一个第三方 macOS 应用，原 release 版本未签名，但提供了源码，为Swift Package格式，需要重新签名并公证后分发。

---

遇到的坑

1. Swift Package Manager 无法启用 Hardened Runtime

问题：使用 swift build 构建的可执行文件，无法通过签名添加 hardened runtime。公证时一直报错：

The executable does not have the hardened runtime enabled.

原因：Swift Package Manager 构建时不会启用 hardened runtime，签名时添加也不被认可。

解决：使用 XcodeGen 生成 Xcode 项目，在项目配置中启用。

2. Apple Development 证书无法公证

问题：最初只有 Apple Development 证书（用于开发调试），公证时报错：

The binary is not signed with a valid Developer ID certificate.

原因：公证必须使用 Developer ID Application 证书，不能用 Apple Development。

解决：在 Apple Developer 账号中添加 Developer ID Application 证书。

3. 时间戳问题

问题：签名缺少安全时间戳：

The signature does not include a secure timestamp.

解决：在签名配置中添加 --timestamp 参数。

4. get-task-allow entitlement 问题

问题：分发版本包含开发用 entitlement：

The executable requests the com.apple.security.get-task-allow entitlement.

解决：在 entitlements 配置中明确设置 com.apple.security.get-task-allow: false。

---

经验教训

证书类型

证书类型	用途
Apple Development	开发调试，不能公证
Developer ID Application	分发和公证 ✅

签名配置要点

1. Hardened Runtime - 必须启用
2. 时间戳 - 必须添加
3. entitlements - 分发版本禁止包含 get-task-allow
4. 使用 Manual 签名 - 避免自动签名冲突

---

最佳实践（简单有效）

1. 使用 Xcode 项目而非 SPM

# 安装 XcodeGen
brew install xcodegen

# 配置 project.yml（关键设置）
targets:
  YourApp:
    settings:
      base:
        ENABLE_HARDENED_RUNTIME: YES
        CODE_SIGN_STYLE: Manual
        CODE_SIGN_IDENTITY: "Developer ID Application: Your Name (TEAM_ID)"
        OTHER_CODE_SIGN_FLAGS: "--timestamp"
    entitlements:
      properties:
        com.apple.security.get-task-allow: false

# 生成项目
xcodegen generate

# 构建
xcodebuild -project YourApp.xcodeproj -scheme YourApp -configuration Release build

2. 验证签名

codesign -dvv YourApp.app/Contents/MacOS/YourApp

确认输出包含：

• flags=0x10000(runtime) - hardened runtime 已启用
• Timestamp=... - 有时间戳

3. 公证流程

# 1. 创建 zip
zip -r YourApp.zip YourApp.app

# 2. 提交公证（需要 App 专用密码）
xcrun notarytool submit YourApp.zip \
  --apple-id "your@email.com" \
  --password "app-specific-password" \
  --team-id "TEAM_ID"

# 3. 等待完成
xcrun notarytool wait <submission-id> --apple-id "your@email.com" --password "password" --team-id "TEAM_ID"

# 4. 附加票据
xcrun stapler staple YourApp.app

---

总结

最简单有效的方式：

1. 用 XcodeGen 生成 Xcode 项目（不要用纯 SPM）
2. 在 project.yml 中配置好签名和 hardened runtime
3. 用 xcodebuild 构建
4. 用 notarytool 公证

不要试图用 swift build + 手动签名的方式来处理需要公证的分发版本，SPM 的构建产物不兼容。

Sidebar按钮隐藏起来的正确做法

使用

.toolbar(removing: .sidebarToggle)

可以隐藏侧边栏切换按钮。但是注意，这个不是放在作用在NavigationSplitView上面的。而不是作用在sidebar的视图上面。即必须按照如下的方式使用：

NavigationSplitView(columnVisibility: $columnVisibility) {
    sidebar
        .toolbar(removing: .sidebarToggle)
    } content: {
    content
    } detail: {
    detail
}

隐藏Sidebar的正确做法

NavigationSplitView是三栏的，但是如果你要使用两栏，则有两种方式。

使用sidebar

使用sidebar的好处是，sidebar可以隐藏，也可以显示。
使用sidebar+detail的方式。

不使用sidebar

如果你希望永远显示为两栏，不希望隐藏任何一个栏隐藏，那么使用此方式。

NavigationSplitView(columnVisibility: .constant(.doubleColumn)) {
    EmptyView()
        .toolbar(removing: .sidebarToggle)
    } content: {
    content
    } detail: {
    detail
}

这个的重点在于，通过sidebar设置隐藏了切换sidebar按钮。同时，选择两栏模式，默认不显示sidebar。这样sidebar就无法被调用出来了。并且一直是两栏。

配合Settings使用

在使用Settings时候，包含sidebar的NavigationSplitView的sidebar按钮会导致出现问题。因此，必须使用上面的第二种方式，隐藏sidebar，并且使用一直存在的两栏。

最近我在做应用适配iOS/macOS 26的特性。今天在Xcode Cloud打包的时候遇到打包失败的错误。

Macro “DefaultsMacrosDeclarations” from package “Defaults” must be enabled before it can be used.

这个问题是我应用所使用的第三方的库 “Defaults”在其内部使用了宏。这个宏在Xcode本地编译时，需要用户手动点击确认才能继续。但是Xcode Cloud中，没有点击确认的位置。因此，就无法完成打包应用的过程。

解决办法

通过运行脚本的方式，在克隆完文件夹之后，运行脚本，规避掉对于宏的验证。

#!/bin/sh 
defaults write com.apple.dt.Xcode IDESkipMacroFingerprintValidation -bool YES

必须在Xcode中的根部位置，创建一个新组，命名为ci_scripts，然后在这个组中创建ci_post_clone.sh，内容是上面的内容。

必须在Xcode的根部位置创建组，并且命名也不能错。

小插曲

我其实最开始是像GPT 4.1提出了这个问题。GPT 4.1的解答只对了一半。它提出了创建文件夹和脚本，文件夹是正确的，脚本名字是错误的。并且它也没有告诉需要在Xcode中创建组，而只是说在项目的根目录创建就可以。最后，它创建的脚本内容不完全正确。

之后我使用了Google搜索。Google搜索默认的AI总结的是正确的，但应该就是从stackoverflow里的答案总结的。我最后是看的SO里的回答，进行的总结。

另外，我建议你完整阅读下面的第一个引用。我使用了里面最为简便的方案。而非最安全的。也许你看了之后，会选择一条不同的手段。

引用文献

How do I trust a swift macro target for Xcode Cloud builds?

Writing custom build scripts