Winget repo סובל מאפליקציות כפולות עם מניפסטים שגויים

בשבוע שעבר מיקרוסופט הוציא את הגרסה היציבה הראשונה של Winget, מנהל החבילות המובנה שלו עבור Windows. הכלי מאפשר לבצע אוטומציה של ניהול אפליקציות על ידי התקנתן ממאגר מרוכז בכמות גדולה, עדכון כולן בבת אחת והסרת ההתקנה שלהן בפקודה אחת. ה-repo פתוח לציבור ומתוחזק על ידי חובבים, כך שהדבר גרם להופעת חבילות אפליקציות פגומות.

אם אינכם מכירים את Winget, זהו כלי אוטומציה שעוזר לכם להאיץ את התקנת התוכנה במחשב. כל מה שאתה צריך לעשות הוא לומר למערכת איזו תוכנה אתה רוצה. לאחר מכן, Winget מוצא את הגרסה העדכנית ביותר (או את המהדורה הספציפית האחת שאתה צריך) ומתקין אותה בשקט ברקע. מלבד התקנת אפליקציות, אתה יכול להשתמש ב-Winget כדי למצוא מידע על חבילות, לנהל מקורות, לשדרג אפליקציות, להסיר אפליקציות וכו'.

אתה יכול להוריד את Winget מהמאגר של הפרויקט ב-GitHub. מיקרוסופט מתכננת גם לשלב את Winget בכל הגרסאות הנתמכות ב-Windows 10. אתה יכול גם להצטרף ל Windows Package Manager Program Insider אם תרצה עדכונים אוטומטיים מהחנות, וברצונך להפעיל אותו בגרסה שלך של Windows 10.

המאגר של Winget מלא כעת באפליקציות כפולות, מניפסטים שגויים

ההנחיות של מיקרוסופט מדינה שספקי תוכנה עצמאיים (ISV) המעוניינים להעלות את האפליקציה שלהם לרישום של Winget, יכולים לעשות זאת על ידי שליחת המניפסט של האפליקציה ב-GitHub שלהם. אישור המניפסט הוא תהליך אוטומטי. המניפסטים שהועלו מאומתים אוטומטית על פי קבוצה של קריטריונים מוגדרים מראש.

לאחר הזמינות הציבורית של Winget 1.0, אנשים התחילו להגיש ל-GitHub הרבה אפליקציות שייכללו ב-repo של Winget, כולל האפליקציות שכבר היו זמינות שם.

יתרה מכך, כמה בקשות משיכה הכילו שמות אפליקציות שגויים במניפסטים או קישורים "פגועים" מהמקום שבו האפליקציה אמורה להגיע. במספר מקרים, הגשות חדשות יחליפו את המניפסטים של יישומים קיימים, עם מידע חלקי.

BleepingComputer מספק דוגמאות לגילויים כאלה. על פי הדיווחים, קבצי המניפסט של אפליקציית PrimoPDF של NitroPDF מכילים שגוי מזהה חבילה ("NitroPDFIncNitroPDFPtyLtd. PrimoPDF") והורדת כתובת אתר.

דוגמה טובה נוספת למידת הרצינות של הבעיה היא קובץ המניפסט המורכב כהלכה שהוחלף על ידי תורמים, אך עם מידע חלקי.

הדבר הטוב שגילויים שגויים הוחזר במהירות, אבל צריך להיות מנגנון שימנע מקרים כאלה בעתיד.

הקהילה מציעה לקיים צוות מנחים שיבדוק את קובצי המניפסט לפני שהם יאושרו ויהפכו לזמינים לכולם.

Demitrius Nelon של מיקרוסופט, איש מפתח מאחורי הפיתוח של Winget, הודה בבעיה וכי הוא מתכנן להעלות אותה עם הצוות. הוא מגיע עם פתרון משלו:

"אחת האפשרויות יכולה להיות דרישת מאשר 'שני' במניפסט 'חדש' בספרייה 'חדשה'."

הוא גם הזכיר שהצוות שוקל ליצור מערכת בדיקות כפולות למניפסטים. נלון ציין כי הכוונה שלהם היא למנוע יותר מדי חיכוכים ועיכוב זמן עבור אנשים המגישים מניפסטים.