Le référentiel Winget souffre d'applications en double avec des manifestes malformés
La semaine dernière, Microsoft a publié la première version stable de Winget, son gestionnaire de packages intégré pour Windows. L'outil permet d'automatiser la gestion des applications en les installant en masse à partir d'un référentiel centralisé, en les mettant à jour toutes en même temps et en les désinstallant avec une seule commande. Le référentiel est ouvert au public et maintenu par des passionnés, ce qui a provoqué l'apparition de packages d'applications malformés.
Publicité
Si vous n'êtes pas familier avec Winget, c'est un outil d'automatisation qui vous aide à accélérer l'installation de logiciels sur un ordinateur. Tout ce que vous avez à faire est de dire au système quel logiciel vous voulez. Ensuite, Winget trouve la dernière version (ou la version spécifique dont vous avez besoin) et l'installe silencieusement en arrière-plan. Outre l'installation d'applications, vous pouvez utiliser Winget pour rechercher des informations sur les packages, gérer les sources, mettre à niveau des applications, désinstaller des applications, etc.
Vous pouvez télécharger Winget depuis le dépôt du projet sur GitHub. Microsoft prévoit également d'intégrer Winget dans toutes les versions prises en charge sur Windows 10. Vous pouvez également rejoindre le Programme d'initiés du gestionnaire de packages Windows si vous souhaitez des mises à jour automatiques à partir du magasin et que vous souhaitez l'exécuter sur votre version de Windows 10.
Le référentiel Winget est maintenant rempli d'applications en double, de manifestes malformés
Les directives de Microsoft Etat que les éditeurs de logiciels indépendants (ISV) cherchant à télécharger leur application dans le registre Winget, peuvent le faire en soumettant le manifeste de l'application sur leur GitHub. L'approbation du manifeste est un processus automatisé. Les manifestes téléchargés sont automatiquement validés par rapport à un ensemble de critères prédéfinis.
Après la disponibilité publique de Winget 1.0, les gens ont commencé à soumettre à GitHub de nombreuses applications à inclure dans le référentiel de Winget, y compris les applications qui y étaient déjà disponibles.
De plus, certaines demandes d'extraction contenaient des noms d'application incorrects dans les manifestes ou des liens « mauvais » à partir desquels l'application devait être récupérée. Dans un certain nombre de cas, les nouvelles soumissions écraseraient les manifestes des applications existantes, avec des informations incomplètes.
BipOrdinateur fournit des exemples de tels manifestes. Les fichiers manifestes de l'application PrimoPDF de NitroPDF contiendraient des Identificateur de package ("NitroPDFIncNitroPDFPtyLtd. PrimoPDF") et l'URL de téléchargement.
Un autre bon exemple de la gravité du problème est le fichier manifeste correctement composé qui a été écrasé par les contributeurs, mais avec des informations incomplètes.
La bonne chose que les manifestes malformés ont été rapidement annulées, mais il devrait y avoir un mécanisme pour empêcher de tels incidents à l'avenir.
La communauté suggère d'avoir une équipe de modérateurs pour vérifier les fichiers manifestes avant qu'ils ne soient approuvés et deviennent disponibles pour tout le monde.
Demitrius Nelon de Microsoft, une personne clé derrière le développement de Winget, a reconnu le problème et qu'il envisage de le soulever avec l'équipe. Il vient avec sa propre solution :
"L'une des options pourrait être d'exiger un 'second' approbateur sur un 'nouveau' manifeste dans un 'nouveau' répertoire."
Il a également mentionné que l'équipe envisage de créer un système de vérification des doublons pour les manifestes. Nelon a souligné que leur intention est d'éviter trop de frictions et de retards pour les personnes soumettant des manifestes.
