RealmSwift框架在App Store Connect提交时遇到的签名缺失问题解析

在iOS应用开发中，使用RealmSwift框架时可能会遇到一个特定的问题：当开发者通过Carthage集成RealmSwift 10.47.0版本并尝试将应用提交至App Store Connect时，会收到ITMS-91065错误提示，指出框架缺少必要的签名文件。这个问题主要影响使用Xcode 15.2及以上版本构建的项目。

问题背景

苹果在2023年加强了对第三方SDK的隐私和安全要求，其中包含两个关键部分：

1. 隐私清单（Privacy Manifests） - 要求SDK提供隐私数据使用声明
2. 代码签名（Code Signing） - 要求SDK提供开发者签名验证

RealmSwift从10.47.0版本开始已经包含了隐私清单文件，满足了第一个要求。但第二个签名要求在当时尚未实现，导致使用Carthage集成的开发者会遇到提交问题。

技术细节

当使用动态框架（Dynamic Framework）时：

• RealmSwift 10.47.0通过SPM集成时可以作为动态框架构建，自动包含隐私清单
• 但通过Carthage集成时，框架缺少苹果要求的代码签名

当使用静态库（Static Library）时：

• 开发者需要自行提供隐私清单文件
• 签名问题同样存在

解决方案

对于遇到此问题的开发者，目前有以下几种解决方法：

1. 升级到最新版本： Realm团队表示将在未来版本中为发布产物添加签名支持。建议关注官方更新。

2. 临时自签名方案： 开发者可以按照WWDC 2023相关视频中的指导，对xcframework进行自签名：

   • 使用codesign工具对框架进行签名
   • 确保签名证书与开发者账户匹配
   • 验证签名是否成功

3. 构建配置调整：

   • 确保使用动态框架而非静态库
   • 检查Xcode构建设置中的代码签名选项

最佳实践建议

对于使用Carthage的开发者：

1. 暂时采用自签名方案
2. 密切关注Realm官方更新
3. 考虑在项目允许的情况下切换到SPM集成方式

对于所有开发者：

1. 定期检查第三方框架的合规性状态
2. 在提交前使用codesign -dv命令验证框架签名
3. 保持Xcode和构建工具的更新

总结

这个问题反映了苹果对应用供应链安全日益严格的要求。虽然目前需要开发者采取一些额外步骤，但随着生态系统的成熟，预计未来版本会提供更完整的解决方案。开发者应当理解这些安全措施的意义，并在项目规划中考虑相应的兼容性工作。