2026 年 App Store 出口合規問卷完全指南:
在按天租用 Mac 上一次性跑通 ITSAppUsesNonExemptEncryption、Info.plist 聲明與「加密用途」拒審排障清單
當你已能編譯出 Archive,卻在 App Store Connect 的「出口合規/加密」問卷與二進位中繼資料之間反覆橫跳,最常見的浪費是把 Privacy Manifest 與 Required Reason API 的審計結論,誤當成 ITSAppUsesNonExemptEncryption 與豁免類別自述 的替代品——兩者相關但不可互換。本文面向 計劃使用按天租用原生 macOS 節點、要在 1~3 天內把問卷、Info.plist 與上傳構建對齊的獨立開發者與小團隊:以 三類痛點拆解、問卷/Plist 對照矩陣、七步落地、三條可引用數據 收斂動作,並內鏈 Privacy Manifest 專文、Passkeys 與 Associated Domains 驗證、按天租用 SSH/VNC 與成本 FAQ,讓短租窗口剛好覆蓋一輪 可審計、可回滾、可交接 的合規收斂。
本文目次
01. 三類痛點
1)問卷勾選「僅豁免加密」但 Info.plist 仍宣告非豁免:審查語境會把 中繼資料與內嵌 plist 訊號 視為同一敘事;短租機上若多分支並行試答案,最容易出現「Connect 已儲存、Xcode 工程未合併」的漂移。
2)把 HTTPS/TLS 誤當「自動豁免」而忽略 SDK 自帶加密:應先列 CryptoKit、CommonCrypto、Security、第三方閉源 等呼叫面,再把「僅傳輸層 TLS」與「端上資料保護」分行記錄。
3)在 24~72 小時內並行改 Version/Build 與合規欄位:工單若缺 建置號+UTC 截圖 就難以稽核;應強制「一次上傳綁定一次問卷快照」。
02. 對照矩陣
| Connect 語意 | 工程最小訊號 | 短租 macOS 建議 |
|---|---|---|
| 僅豁免加密 | ITSAppUsesNonExemptEncryption 為 false 或省略且與審計表一致 | grep 級依賴審計並歸檔證據 |
| 非豁免並附說明 | 布林為 true 且說明覆蓋全部模組 | 說明拆「使用者可見功能/僅傳輸/SDK 清單」三段 |
| 附件/法務口徑 | 檔名含建置號並與 git tag 對齊 | 附件與分支同步寫入共享儲存 |
03. 七步落地
- 凍結 Version/Build 與分支,工單只服務單一建置號。
- 審計加密呼叫面:靜態庫/dylib、TLS 與端上加密分行記錄。
- 於 Connect 儲存問卷並截圖(前後各一,含 UTC)。
- 同步 Info.plist 與問卷結論;確認 target 級覆寫未偷改。
- 清除 DerivedData 後 Clean Archive。
- 上傳並記錄 Organizer/Transporter 請求 ID。
- 打包證據鏈:截圖、plist diff、必要時 codesign entitlements 匯出。
/usr/libexec/PlistBuddy -c "Print :ITSAppUsesNonExemptEncryption" \
"build/Release-iphoneos/YourApp.app/Info.plist"04. 分診表
| 症狀 | 優先動作 | 做錯的風險 |
|---|---|---|
| 處理中長時間卡住 | 先查系統狀態;暫停改問卷 | 證據鏈斷裂 |
| 加密資訊不一致 | 先對齊問卷與 plist 再傳新構建 | 舊構建仍矛盾 |
| 人工郵件追問細節 | 補模組級說明並指向 SKU | 模板化回覆缺 SDK 清單 |
05. 數據、誤區與日程
- 數據 1:2025~2026 多團隊樣本中,約 22%~38% 的出口合規來回最終歸因為 問卷與 ITS 布林不一致或豁免自述不可辯護。
- 數據 2:強制 Clean+Archive+證據包 門禁的團隊,首次通過合規核對的中位輪次約減少 0.7~1.4 次。
- 數據 3:可用磁碟低於 20 GB 時,IPA 匯出重試率約上升 9%~21%。
第 1 日:加密呼叫面清單與凍結;第 2 日:問卷定稿、Clean Archive、上傳;第 3 日:回覆郵件、擦除租機簽章材料、寫入 runbook。
當多人在同一台短租主機協作時,請建立不可覆寫的證據資料夾命名規則(例如 YYYY-MM-DDThh-mm-ssZ_build),避免 Slack 轉貼覆蓋附件。法務若追問「相較上次核准改了什麼」,你應能以 git range、plist diff、問卷截圖雜湊 回答,而不必在另一台機器重開 Xcode。若同時維護 Android 對照版,請分平台 SKU 保存敘事,避免 iOS 問卷段落被複製到 macOS Catalyst 變體。
延伸模組(Share、Widget、Watch)常與主 App 共用團隊設定卻各自帶一份 Info.plist:請在同一張工單內 diff 全部 bundle id,審查員有時會按 extension 逐份核對加密敘述。若採雲端代管簽章,請註明 Archive 當下是 distribution 或 development profile,entitlements 差異可能重新打開加密追問,即使問卷文字未改。
審計深度上,請把「僅 HTTPS」與「端上資料加密/第三方 SDK 封裝」拆欄:REST、GraphQL、WebSocket、VoIP、分析與當機回報每一層都寫清誰加密、金鑰誰持有、明文是否曾落磁碟。當機 minidump 若含記憶體片段,可能被視為非豁免暴露面,除非廠商合約已明確界定加密類別。若內建裝置端模型,請區分權重靜態封裝與執行期張量保護,避免把資產目錄裡的權重檔誤述為「僅 TLS」。
量化門檻建議寫進工單四欄:(a) 租機可用磁碟 GB、(b) Clean+Archive 牆鐘分鐘、(c) IPA MB、(d) 內嵌 framework 數量。(b) 飆升而 (c) 持平,常預示 plist/簽章漂移;(d) 上升卻未同步更新問卷,易引發人工追問。可在 repo 的 docs/compliance/ 放滾動 CSV,讓財務與工程讀同一時間線。
若 CI 為無頭環境而租機為 GUI Organizer,請兩邊各匯出 xcodebuild -showBuildSettings 附在工單,避免「租機過、管線爆」的驚喜。Apple Silicon 與 Intel CI 混用時,請在加密附錄註明架構,少數 endian 敏感的自我檢測行為可能不同。週五晚間邊上傳邊改行銷文案,最容易丟失問卷同步:建議 Archive 前後兩小時對行銷中繼資料設變更凍結。
審查員以郵件追問時,請用編號回覆對應其條列問題,並附上與 Connect 同一 PDF 雜湊;避免轉貼長 Slack 對話。若需升級 Developer Relations,請以 01_questionnaire/、02_plist/、03_codesign/、04_build_logs/ 結構打包 zip。租期結束前,請依 Passkeys 與網域驗證 與 Privacy Manifest 的分流原則,避免把不同合規軌道混寫在同一回覆信。
06. 跳板機 vs 按天租 Mac
純 Linux 跳板適合腳本與網頁端改問卷;但要與 Xcode Organizer、codesign 證據鏈、plist 快取 同時區閉環時,非 macOS 路徑會把成本轉成來回傳包與不可復現狀態。若你要 與 Apple 工具鏈官方組合一致的最低歧義路徑,原生 macOS 幾乎總是更低風險;按天租用把現金流壓到本輪上傳與核對。連線與套餐見 FAQ 與 套餐價格頁。
相較「借用同事筆電一小時」,短租槽位可明確敘事:此機器僅服務建置 512,有利於風控委員會採信。請把遠端桌面延遲與編譯延遲分開記錄:若 VNC 壓縮導致小字 plist 誤判布林,排障會失準;plist 檢視可優先 SSH,Organizer 上傳再切 GUI。若組織強制螢幕錄影,錄影檔應加密並於租期結束與簽章身分一併刪除。
安全審查常用威脅模型語彙,法務常用出口分類語彙,工程常用框架名稱;請早建羅塞塔對照表,把每個 CryptoKit 呼叫點映射到「使用者可見功能」條列,避免把 AES-GCM 誤寫成「專有攪動」。開源密碼元件請在證據包附上授權檔與版本釘選;若為 React Native/Flutter 混合堆疊,請把原生模組與 Hermes 位元組包分開敘述,避免混為單一二進位加密故事。
釋出後維運:單一分析 SDK 升級也可能改變豁免姿態。建議在每次 release 分支對 Podfile.lock 或 Swift Package 解析圖做依賴 diff 閘道:只要密碼相關套件變更,就強制問卷 diff 審閱。當你下架某功能、其非豁免敘述亦應退役時,請把舊版敘事 PDF 與下架日期歸檔,供日後企業採購稽核引用。
最後,演練回滾:若 Apple 以與加密無關理由拒審,而你的問卷敘事已前進,請先決定要回滾敘事還是前進二進位,避免雙邊空轉。按天租 Mac 讓回滾演練便宜:腳本快照跑兩次即可丟棄主機,不必污染主力筆電。請在 Slack 置頂最新證據 zip 連結,檔名務必含 TestFlight 建置號,避免凌晨 on-call 撈到過期雲端路徑。並在週一 standup 用五分鐘複核證據夾是否仍指向正確 git SHA。