Winget repo trpí duplicitními aplikacemi s poškozenými manifesty

Minulý týden Microsoft vydala první stabilní verzi Winget, jeho vestavěný správce balíčků pro Windows. Nástroj umožňuje automatizaci správy aplikací jejich hromadnou instalací z centralizovaného úložiště, aktualizací všech najednou a odinstalováním jediným příkazem. Repo je otevřené pro veřejnost a spravují ho nadšenci, takže se objevily poškozené balíčky aplikací.

Pokud Winget neznáte, je to automatizační nástroj, který vám pomůže urychlit instalaci softwaru do počítače. Vše, co musíte udělat, je sdělit systému, jaký software chcete. Dále Winget najde nejnovější verzi (nebo jednu konkrétní verzi, kterou potřebujete) a nainstaluje ji tiše na pozadí. Kromě instalace aplikací můžete Winget použít k vyhledání informací o balíčcích, správě zdrojů, upgradu aplikací, odinstalaci aplikací atd.

Můžete si stáhnout Winget z úložiště projektu na GitHubu. Microsoft také plánuje integrovat Winget do všech podporovaných verzí ve Windows 10. Můžete se také připojit k 

Zasvěcený program Windows Package Manager pokud chcete automatické aktualizace z obchodu a chcete je spustit ve své verzi Windows 10.

Úložiště Winget je nyní naplněno duplicitními aplikacemi, poškozenými manifesty

Pokyny společnosti Microsoft Stát že nezávislí dodavatelé softwaru (ISV), kteří chtějí nahrát svou aplikaci do registru Winget, tak mohou učinit odesláním manifestu aplikace na svůj GitHub. Schválení manifestu je automatický proces. Nahrané manifesty jsou automaticky ověřeny podle sady předdefinovaných kritérií.

Po veřejné dostupnosti Winget 1.0 začali lidé na GitHub předkládat spoustu aplikací, které měly být zahrnuty do repo Winget, včetně aplikací, které tam již byly k dispozici.

Některé žádosti o stažení navíc obsahovaly nesprávné názvy aplikací v manifestech nebo „špatné“ odkazy, odkud by se měla aplikace načíst. V řadě případů by nová podání přepsala manifesty stávajících aplikací s neúplnými informacemi.

BleepingComputer uvádí příklady takových manifestů. Soubory manifestu pro aplikaci PrimoPDF od NitroPDF údajně obsahují nesprávný formát PackageIdentifier („NitroPDFIncNitroPDFPtyLtd. PrimoPDF") a URL pro stažení.

Dalším dobrým příkladem toho, jak závažný problém je, je správně složený soubor manifestu, který byl přepsán přispěvateli, ale s neúplnými informacemi.

Dobrá věc, že ​​chybné manifesty byly rychle vráceny, ale měl by existovat mechanismus, který takovým incidentům v budoucnu zabrání.

Komunita navrhuje mít tým moderátorů, kteří by zkontrolovali soubory manifestu, než budou schváleny a zpřístupněny všem.

Demitrius Nelon z Microsoftu, klíčová osoba stojící za vývojem Winget, tento problém přiznal a plánuje ho projednat s týmem. On přichází s vlastním řešením:

"Jednou z možností by mohlo být vyžadování "druhého" schvalovatele u "nového" manifestu v "novém" adresáři."

Zmínil také, že tým zvažuje vytvoření duplicitního kontrolního systému pro manifesty. Nelon poukázal na to, že jejich záměrem je vyhnout se příliš velkému tření a časovému zpoždění pro lidi, kteří předkládají manifesty.