（免责声明：自2016年以来，我还没有为macOS或iOS构建任何内容，所以我有点落后了-请如果我是对的，请为我编辑帖子-但如果此答案不正确，请在评论中让我知道，我会立即将其删除）

基于这些文章：

• https://blog.fleetsmith.com/macos-mojave-app-notarization/
• https://developer.apple.com/documentation/xcode/notarizing_macos_software_before_distribution
• https://scriptingosx.com/2019/09/notarize-a-command-line-tool/
• https://www.publicspace.net/blog/mac/2019/07/26/some-things-i-wish-i-had-know-before-starting-to-automate-mac-developer-id-notarization/

我对该过程的理解是，实际上根本没有修改您可再发行的可执行文件/应用程序软件包-而是Apple在其服务器上的软件包中记录了文件的哈希值。每当macOS用户运行您的程序时，macOS都会将应用程序文件的哈希发送给Apple，Apple会以公证信息作为响应。

但是，您可以 将公证收据“装订”到可再发行的可执行文件（该文件确实会修改软件包），这使其他macOS用户的计算机可以快速验证公证，而无需联系Apple的服务器。 （尽管在签名证书被泄露的情况下，他们仍然可以检查公证撤销）。

  

人员A如何确保未对来自B的签名代码进行其他修改？

如果收据未装在应用程序包中，则两个包文件的哈希值应相同。

  

例如，A可以再次从应用程序中删除代码签名和公证信息，然后使用diff来验证原始应用程序的内容与B相同吗？如果是这样，哪个命令可以完成？

不是diff，而是shasum：http://osxdaily.com/2012/02/05/check-sha1-checksum-in-mac-os-x/

shasum ~/Desktop/DownloadedFile.dmg