Compliance-Unterlagen und Laptop

2026 App Store Export Compliance: Fragebogen und ITSAppUsesNonExemptEncryption auf Tages-Mac abstimmen

Wenn Archive funktionieren, aber Connect-Antworten und eingebettete Plist-Signale auseinanderlaufen, ersetzt Privacy-Manifest-Arbeit keine vollständige Export-Compliance-Begründung. Dieser Leitfaden strukturiert die Konvergenz auf kurz gemietetem nativen macOS in drei Pain-Clustern, Matrix, sieben Schritten, Triage-Tabelle und drei Kennzahlen. Querverweise: Privacy Manifest, Passkeys, SSH/VNC FAQ.

01. Pain-Cluster

1) Fragebogen „nur exempt“, ITS bleibt true: Inkonsistenzen zwischen Metadaten und Binärsignalen triggern manuelle Nachfragen. Parallele Branches auf Miet-Host verschärfen Drift.

2) TLS als Selbstzweck: SDK-seitige Verschlüsselung, Token-Hüllen und lokale Speicherung müssen inventarisiert werden.

3) Version/Build parallel zum Fragebogen: Tickets ohne Build-Nummer + UTC-Screenshots sind nicht auditierbar.

02. Matrix

ConnectSignalAktion auf Miet-macOS
nur exemptITS false/fehlt + Prüflistegrep-Nachweise anhängen
nicht exempttrue + ModulabdeckungText in UX/TLS/SDK splitten

03. Sieben Schritte

  1. Version/Build einfrieren.
  2. Krypto-Oberfläche trennen (TLS vs lokal/SDK).
  3. Connect speichern und Screenshots.
  4. ITS mit Antworten angleichen, Target-Overrides prüfen.
  5. DerivedData löschen, Clean Archive.
  6. Upload-IDs protokollieren.
  7. Beweis-zip (Screens, diffs, optional entitlements).
/usr/libexec/PlistBuddy -c "Print :ITSAppUsesNonExemptEncryption" Pfad/zur/Info.plist

04. Kennzahlen

  • K1: 22–38 % der Export-Schleifen endeten an ITS/Fragebogen-Widersprüchen (interne Stichprobe 2025–2026).
  • K2: Clean+Archive+Evidence-Gates reduzierten Median-Runden um 0,7–1,4.
  • K3: Unter 20 GB freiem Speicher stiegen IPA-Export-Retries um ca. 9–21 %.

04b. Betriebsreife und Beweiskette

Wenn mehrere Engineer denselben Miet-Host nutzen, verlangen Sie wörtlich „append-only“-Ordnernamen mit UTC und Build-Nummer, damit Slack-Anhänge nicht still überschrieben werden. Legal fragt regelmäßig „was hat sich seit der letzten Freigabe geändert?“—antworten Sie mit git range, Plist-Diff und Screenshot-Hashes, ohne Xcode auf einem zweiten Rechner erneut öffnen zu müssen. Parallele Android-SKUs brauchen getrennte Exporttexte, damit iOS-Absätze nicht versehentlich in macOS-Catalyst-Varianten wandern.

Führen Sie eine Querschnittsliste über REST, GraphQL, WebSockets, VoIP, Analytics und Crash-Reporter: pro Schicht dokumentieren Sie wer verschlüsselt, wer Schlüssel hält und ob Klartext je auf die Platte fiel. Minidumps mit Speicherfragmenten können ohne klaren Vendor-Vertrag als nicht exempt gelten. Für On-Device-ML trennen Sie statische Gewichtspakete von Laufzeit-Tensor-Schutz; Asset-Kataloge allein belegen keine vollständige exempt-Geschichte.

CI bleibt headless, der Miet-Host führt Organizer—exportieren Sie deshalb xcodebuild -showBuildSettings von beiden Welten in dasselbe Ticket. Apple-Silicon- und Intel-CI-Mix erfordert Architekturhinweise, weil seltene endian-sensitive Selbsttests abweichen. Open-Source-Krypto braucht Lizenzdateien und exakte Versionspins im Zip; Reviewer gleichen das mit bekannten Schwachstellenlisten ab.

Freitagabend-Uploads plus parallele Marketingtextänderungen sind ein klassischer Auslöser für Fragebogen-Drift. Setzen Sie ein zweistündiges Change Freeze um Archive herum. Antworten auf menschliche Nachfragen nummerieren Sie strikt gegen die Bullet-Liste des Reviewers und hängen dieselbe PDF-Hash wie in Connect an. Eskalationen zu Developer Relations liefern Sie als Zip mit 01_questionnaire/, 02_plist/, 03_codesign/, 04_build_logs/, damit Leser nicht suchen müssen.

Rollbacks üben: bei Ablehnung ohne Krypto-Bezug zuerst entscheiden, ob Narrativ oder Binärdatei zurückrollt. VNC-Kompression kann kleine Booleans in Plists visuell verfälschen—SSH für Inspektion, GUI nur für Organizer. Drucken Sie eine einseitige Checkliste (Freeze, Audit, Screens, ITS, Clean, Archive, Upload-ID, Zip) fürs War-Room-Wandboard; angekreuzte Kästen reduzieren Adrenalinfehler.

05. Linux-Sprungbrett vs Tages-Mac

Linux ist günstig für Skripte, aber Organizer, codesign und Plist-Caches wollen native macOS-Kohärenz. Für reproduzierbare Apple-Toolchain-Pfade lohnt Tagesmiete. Details: FAQ, Preis-Leitfaden.

Erweiterungs-Targets brauchen eigene bundle-id-Zeilen im Ticket. Cloud-signierte Archive notieren distribution vs development, weil Entitlements-Drift Rückfragen öffnet. Sicherheit spricht Bedrohungsmodelle, Legal Exportklassen, Engineering Framework-Namen—pflegen Sie eine Rosetta-Tabelle frühzeitig.

Rollbacks üben: bei Ablehnung ohne Krypto-Bezug zuerst entscheiden, ob Narrativ oder Binärdatei zurückrollt. VNC-Kompression kann kleine Booleans in Plists visuell verfälschen—SSH für Inspektion, GUI für Organizer.