например, Lulu и Little Snitch перешли на использование расширения ядра
Я не могу говорить за Lulu, но Little Snitch по крайней мере был разработан задолго до API "Network Extension" был введен, он, конечно, не «переместился» в API NKE. Согласно статье в их собственном блоге похоже, что они активно расследуют переход к сетевым расширениям. Я подозреваю, что до тех пор, пока NKE работают без ограничений для всех версий macOS, которые они поддерживают, они будут продолжать использовать их, чтобы не приходилось одновременно отправлять разные серверные части. Но они, вероятно, имеют какой-то внутренний прототип, уже использующий более новые API, чтобы убедиться, что они готовы к окончательному удалению API NKE из ОС.
Если сетевые расширения поддерживают ваш сценарий использования, вам, вероятно, следует go с ними. Если этого не произойдет, вы должны подать в Apple запросы на расширение, или у вас не будет выбора, когда NKE перестанут работать.
Редактировать: Для развертывания NKE вам по существу понадобится kext сертификат подписи (Application ID Application + Kext), если у вас его еще нет. Альтернативой является принуждение ваших пользователей отключить требование подписывания kext SIP, что в большинстве случаев не является ни разумным, ни разумным. Я слышал, что в последние годы Apple значительно усложнила получение такого сертификата.