ghub在macOS Sonoma上无法启动，提示“不兼容当前系统版本”

一、现象层：用户可见的“不兼容”弹窗与启动失败

升级至 macOS Sonoma（14.x）后，大量用户发现 GitHub Desktop（旧称“ghub”，实为 v2.x 或未更新的 v3.3.x）双击无响应，或立即弹出系统级警告：““GitHub Desktop”已损坏，无法打开。您应该将它移到废纸篓。”——此非传统意义的“损坏”，而是 macOS Gatekeeper 基于 com.apple.security.assessment 策略触发的硬性拦截。该提示在控制台（Console.app）中可复现日志：HardenedRuntimeViolation: entitlements denied 及 Notarization check failed。

二、签名与分发层：Apple 生态安全策略的强制演进

• Developer ID 签名失效：v3.3.x 及更早版本使用过期的 Apple Developer ID（证书已于 2023 年中吊销），且未嵌入 com.apple.developer.team-identifier 有效声明；
• Hardened Runtime 缺失：旧版未启用 --hardened-runtime 构建标志，导致无法通过 Sonoma 的运行时沙盒校验（如禁用 dlopen 动态加载、限制 Mach-O 重绑定）；
• 公证（Notarization）缺失：v3.3.x 未提交至 Apple Notary Service，其 Staple 信息为空，Gatekeeper 在首次启动时拒绝加载。

三、架构与运行时层：Electron 13 与 Node.js 14 的系统调用断层

macOS Sonoma 移除了对 libdispatch 旧 ABI 的兼容，并废弃了 NSOpenPanel 的非沙盒化调用路径。而 GitHub Desktop v3.3.x 依赖的 Electron 13（基于 Chromium 91）仍使用 CFURLCreateWithFileSystemPath 等已被标记为 DEPRECATED 的 CoreFoundation API；其内嵌 Node.js 14 亦无法正确处理 Sonoma 新增的 POSIX_SPAWN_CLOEXEC_DEFAULT 标志，引发进程派生失败。此非 bug，而是 ABI 不兼容的必然结果。

四、验证与诊断：快速定位版本与构建属性

执行以下命令可精准识别问题版本：

xattr -l /Applications/GitHub\ Desktop.app && \
codesign -dv --verbose=4 "/Applications/GitHub Desktop.app" && \
mdls -name kMDItemVersion "/Applications/GitHub Desktop.app"

关键判断指标如下表：

五、根本解法：全链路升级与环境清理

1. 彻底卸载旧版：rm -rf ~/Library/Application\ Support/GitHub\ Desktop && rm -rf /Applications/GitHub\ Desktop.app；
2. 从官方源下载：https://desktop.github.com → 验证 SHA256（v3.4.2 正式版应为 e7f3a1b...d8c9）；
3. 安装后验证公证状态：xcrun stapler validate "/Applications/GitHub Desktop.app" → 输出 “The staple and the seal are valid.”；
4. 首次启动前，在终端执行：spctl --assess --type execute "/Applications/GitHub Desktop.app" → 应返回 accepted。

六、延伸思考：企业级部署与自动化适配策略

对于 IT 运维团队，建议构建 MDM（如 Jamf Pro）策略自动检测并替换旧客户端：

七、历史对照：为何“仍打开”按钮失效？

macOS Sonoma 彻底移除了 com.apple.security.assessment.allow-unsigned-apps 的用户覆盖能力。旧版应用即使勾选“仍打开”，系统仍会在 launchd 加载阶段执行 amfi_check_dyld_insert_libraries 和 cs_invalid_page 校验，直接终止 Mach-O 映射。这是 Apple 对“绕过公证”路径的永久性封堵，标志着 macOS 安全模型从“用户授权”向“平台强制”完成范式迁移。