与errSecInternalComponent (Buildkite)的协同设计失败

Question

环境

嗨，我在我的aws mac1.金属实例上使用了内置风筝。这些代理在我们的组织中充当CI代理。实例现在在启动实例时(在/Library/LauchDaemon中使用plist完成)启动buildkite。这是我的薄片

问题

代理尝试使用python子进程运行以下命令

subprocess.CalledProcessError: Command '['/usr/bin/codesign', '-v', '--sign', 'XXXXXXXXXXXXXXXXXXXXXXXXX', '--entitlements', 'bazel-out/darwin-opt/bin/MYORG/iOS/WidgetExtension/WidgetExtension_entitlements.entitlements', '--force', 'bazel-out/darwin-opt/bin/MYORG/iOS/WidgetExtension/WidgetExtension_archive-root/WidgetExtension.appex']

导致此错误：

ERROR:
--
  | bazel-out/darwin-opt/bin/MYORG/iOS/WidgetExtension/WidgetExtension_archive-root/WidgetExtension.appex: errSecInternalComponent

有趣的是，与我在本地启动的代理运行相同的任务。(ssh进入机器，然后运行buildkite-agent start)然后它运行得完美无缺。因此，我想知道，通过launchd作为守护进程启动构建风筝代理与在本地启动它之间是否存在某种权限上的差异。(类似于我之前打开的这个问题，其中bk代理作为启动守护进程失败了一个作业，但如果在本地启动，则成功)

我试图修复/调试的东西

• errSecInternalComponent似乎是codesign的一个常见问题，所以我尝试用security unlock-keychain -p password path/to/key锁定和解锁密钥链。
• 使用其他CI系统/工具的人也会遇到同样的问题，但主要是在他们的褶皱里。。试过，但仍未成功
• VNC进入mac1金属ec2实例，并给出/usr/local/bin/buildkite代理FDA --仍然失败
• VNC进入并打开KeyChain访问，并授予/usr/local/bin/buildkite代理访问它正在发出签名的私钥-仍然失败。
• 一切都是这里
• Jenkins - Xcode build works codesign失败在结帐钩子中创建临时键，但仍然失败

想知道是否有任何codesign/security/buildkite向导‍♀️‍♂️知道在本地发射buildkite代理和代理启动之间的区别？我觉得我错过了一个很大的问题。也许是我的褶皱里缺少的一个属性。

Answer 1

我以前遇到过这个问题，您需要以LaunchAgent的形式运行buildkite代理，并配置自动登录，而不是以LaunchDaemon的形式运行。