一、问题背景与现象描述

在 macOS 系统升级（尤其是从 macOS Catalina 及以后版本）后，许多用户发现“系统设置” → “隐私与安全性”中原本存在的“允许从以下位置下载的应用”选项里的“任何来源（Anywhere）”选项消失了。这一变化导致无法直接安装来自“未识别开发者”的第三方应用程序，出现“应用已损坏，无法打开，你应该将它移到废纸篓”或“无法验证开发者”的提示。

该限制是苹果出于安全考虑引入的 Gatekeeper 机制强化的一部分，旨在防止恶意软件传播。然而，对于开发者、系统管理员或需要使用非 App Store 渠道分发工具的专业用户而言，这带来了显著的使用障碍。

二、技术原理剖析：Gatekeeper 与代码签名机制

1. Gatekeeper：macOS 内建的安全机制，负责验证应用程序的来源和完整性。
2. 代码签名（Code Signing）：所有合法发布的 macOS 应用必须由 Apple 认证的开发者证书签名。
3. 公证服务（Notarization）：自 macOS Mojave 起，Apple 强制要求第三方应用提交至其服务器进行恶意行为扫描。
4. Quarantine 属性：通过网络下载的应用会被标记为“被隔离”，触发 Gatekeeper 检查。
5. any source 选项移除原因：Apple 在 macOS Sierra 之后逐步弱化此选项，在 Catalina 及后续版本中默认隐藏，以提升整体系统安全性。

三、恢复“任何来源”选项的可行方案

四、具体操作步骤详解

4.1 使用 spctl 命令临时关闭 Gatekeeper

# 查看当前 Gatekeeper 状态
spctl --status

# 输出为 "assessments enabled" 表示开启

# 关闭 Gatekeeper（允许任何来源）
sudo spctl --master-disable

# 成功执行后，“任何来源”选项将在“隐私与安全性”中重新出现
    

4.2 手动启用“任何来源”UI 选项（适用于图形界面）

即使系统隐藏了该选项，仍可通过终端命令激活：

# 启用“任何来源”显示
sudo defaults write /Library/Preferences/com.apple.security GKAllowAppInstallation -bool true

# 或使用更精确的键值（视系统版本而定）
sudo defaults write /var/db/SystemPolicyConfiguration/Enabled -string YES
    

4.3 绕过单个应用的安装限制

若仅需安装某个特定应用，可在右键菜单中选择“打开”，而非双击启动。此操作会弹出安全警告，但提供“仍然打开”按钮，从而绕过 Gatekeeper 限制。

五、自动化流程图：决策路径分析

六、高级调试与企业级应对策略

• 检查 TCC 数据库权限：某些情况下，/Library/Application Support/com.apple.TCC 文件可能被锁定。
• SIP（System Integrity Protection）状态：使用 csrutil status 确认 SIP 是否关闭（仅限恢复模式下修改）。
• 创建配置描述文件（.mobileconfig）：通过 Apple Configurator 或 Profile Manager 推送“允许任意来源安装”的策略。
• 使用 MDM 解决方案：如 Jamf Pro、Microsoft Intune 实现批量设备管理。
• 日志分析：查看 /var/log/system.log 或使用 log show --predicate 'subsystem contains "com.apple.security"' --last 24h 定位拒绝原因。
• 内核扩展与系统扩展兼容性：部分旧版驱动依赖未签名内核模块，需额外处理。