Si recuerdo correctamente, los archivos ejecutables solo los comprueba Gatekeeper si tienen el atributo de sistema de archivos de cuarentena adjunto. Y el atributo del sistema de archivos de cuarentena es (opcionalmente) agregado por las aplicaciones que descargan archivos de Internet.
Entonces, si el controlador de acceso no está verificando los archivos, podría deberse a que el atributo de cuarentena ya se eliminó (después de una verificación exitosa) o porque se estaban descargando usando una aplicación que no los aplica en primer lugar (por ejemplo, creo que algunas aplicaciones de torrent no las aplican, mientras que la mayoría, si no todos los navegadores web, las aplican).
Por ejemplo, acabo de descargar Firefox con el navegador web Safari, por lo que si ejecuto ls -l@ Firefox\ 54.0.1.dmg
para mostrar los atributos del sistema de archivos adjuntos, obtengo lo siguiente, que incluye la etiqueta de cuarentena ...
-rw-r--r--@ 1 alistair staff 59438170 7 Jul 00:23 Firefox 54.0.1.dmg
com.apple.metadata:kMDItemDownloadedDate 53
com.apple.metadata:kMDItemWhereFroms 203
com.apple.quarantine 61
Esta es la razón por la que ve a personas que sugieren eliminar la etiqueta de cuarentena como una forma de sortear las indicaciones de seguridad de Gatekeeper.