Winget repo lider af duplikerede apps med misdannede manifester

Microsoft i sidste uge udgav den første stabile version af Winget, dens indbyggede pakkehåndtering til Windows. Værktøjet tillader automatisering af app-administration ved at installere dem fra en centraliseret repo i bulk, opdatere dem alle på én gang og afinstallere dem med en enkelt kommando. Repoen er åben for offentligheden og vedligeholdes af entusiaster, så dette forårsagede, at der dukkede forkerte apppakker op.

Hvis du ikke er bekendt med Winget, er det et automatiseringsværktøj, der hjælper dig med at fremskynde installationen af ​​software på en computer. Alt du skal gøre er at fortælle systemet, hvilken software du ønsker. Dernæst finder Winget den seneste version (eller den specifikke udgivelse, du har brug for) og installerer den lydløst i baggrunden. Udover at installere apps kan du bruge Winget til at finde information om pakker, administrere kilder, opgradere apps, afinstallere apps osv.

Du kan downloade Winget fra projektets repository på GitHub. Microsoft planlægger også at integrere Winget i alle understøttede versioner på Windows 10. Du kan også være med i Windows Package Manager Insider-program hvis du gerne vil have automatiske opdateringer fra butikken, og du vil køre det på din version af Windows 10.

Winget-repoen er nu fyldt med duplikerede apps, misdannede manifester

Microsofts retningslinjer stat at uafhængige softwareleverandører (ISV'er), der ønsker at uploade deres applikation til Winget-registret, kan gøre det ved at indsende applikationens manifest på deres GitHub. Manifestgodkendelsen er en automatiseret proces. De uploadede manifester valideres automatisk i forhold til et sæt foruddefinerede kriterier.

Efter den offentlige tilgængelighed af Winget 1.0 begyndte folk at sende til GitHub masser af apps, der skulle inkluderes i Wingets repo, inklusive de apps, der allerede var tilgængelige der.

Desuden indeholdt nogle pull-anmodninger forkerte applikationsnavne i manifesterne eller "dårlige" links, hvorfra applikationen skulle hentes. I en række tilfælde vil nye indsendelser overskrive eksisterende ansøgningers manifester med ufuldstændige oplysninger.

Bleeping Computer giver eksempler på sådanne manifester. Manifestfilerne til NitroPDF's PrimoPDF-app indeholder angiveligt forkerte PackageIdentifier ("NitroPDFIncNitroPDFPtyLtd. PrimoPDF") og download URL.

Et andet godt eksempel på, hvor alvorligt problemet er, er den korrekt sammensatte manifestfil, som blev overskrevet af bidragydere, men med ufuldstændig information.

Det gode, at misdannede manifester blev hurtigt vendt tilbage, men der burde være en mekanisme til at forhindre sådanne hændelser i fremtiden.

Fællesskabet foreslår at have et hold af moderatorer til at tjekke manifestfilerne, før de bliver godkendt og bliver tilgængelige for alle.

Microsofts Demitrius Nelon, en nøgleperson bag Wingets udvikling, har erkendt problemet, og at han planlægger at tage det op med teamet. Han kommer med sin egen løsning:

"En af mulighederne kunne være at kræve en 'anden' godkender på et 'nyt' manifest i en 'ny' mappe."

Han nævnte også, at holdet overvejer at lave et duplikatkontrolsystem for manifester. Nelon påpegede, at deres hensigt er at undgå for meget friktion og tidsforsinkelse for folk, der indsender manifester.