Winget-repo heeft last van dubbele apps met misvormde manifesten

Vorige week Microsoft heeft de eerste stabiele versie van Winget uitgebracht, de ingebouwde pakketbeheerder voor Windows. Met de tool kan app-beheer worden geautomatiseerd door ze in bulk te installeren vanuit een gecentraliseerde opslagplaats, ze allemaal tegelijk bij te werken en ze met één enkele opdracht te verwijderen. De repo is open voor publiek en wordt onderhouden door enthousiastelingen, dus dit zorgde ervoor dat er misvormde app-pakketten verschenen.

Als u Winget niet kent: het is een automatiseringstool waarmee u sneller software op een computer kunt installeren. Het enige dat u hoeft te doen, is het systeem vertellen welke software u wilt. Vervolgens vindt Winget de nieuwste versie (of die ene specifieke release die je nodig hebt) en installeert deze stil op de achtergrond. Naast het installeren van apps, kunt u Winget gebruiken om informatie over pakketten te vinden, bronnen te beheren, apps te upgraden, apps te verwijderen, enz.

Je kunt Winget downloaden uit de repository van het project op GitHub. Microsoft is ook van plan Winget te integreren in alle ondersteunde versies op Windows 10. Je kunt ook lid worden van de Windows Package Manager Insider-programma als u automatische updates van de winkel wilt en u deze op uw versie van Windows 10 wilt uitvoeren.

De Winget-repo is nu gevuld met dubbele apps, misvormde manifesten

Richtlijnen van Microsoft staat dat onafhankelijke softwareleveranciers (ISV's) die hun applicatie willen uploaden naar het Winget-register, dit kunnen doen door het manifest van de applicatie op hun GitHub in te dienen. De goedkeuring van het manifest is een geautomatiseerd proces. De geüploade manifesten worden automatisch gevalideerd op basis van een reeks vooraf gedefinieerde criteria.

Na de openbare beschikbaarheid van Winget 1.0 begonnen mensen tal van apps naar GitHub te sturen om in de repo van Winget op te nemen, inclusief de apps die daar al beschikbaar waren.

Bovendien bevatten sommige pull-verzoeken onjuiste toepassingsnamen in de manifesten of "slechte" links van waaruit de toepassing zou moeten worden opgehaald. In een aantal gevallen zouden nieuwe indieningen de manifesten van bestaande aanvragen overschrijven, met onvolledige informatie.

BleepingComputer geeft voorbeelden van dergelijke manifesten. De manifestbestanden voor de NitroPDF's PrimoPDF-app bevatten naar verluidt misvormde Pakketidentificatie: ("NitroPDFIncNitroPDFPtyLtd. PrimoPDF") en download-URL.

Een ander goed voorbeeld van hoe ernstig het probleem is, is het correct samengestelde manifestbestand dat is overschreven door bijdragers, maar met onvolledige informatie.

Het is maar goed dat misvormde manifesten snel werden teruggedraaid, maar er zou een mechanisme moeten zijn om dergelijke incidenten in de toekomst te voorkomen.

De community stelt voor om een ​​team van moderators te hebben om de manifestbestanden te controleren voordat ze worden goedgekeurd en voor iedereen beschikbaar worden.

Microsoft's Demitrius Nelon, een sleutelfiguur achter de ontwikkeling van Winget, heeft het probleem erkend en is van plan het met het team ter sprake te brengen. Hij komt met zijn eigen oplossing:

"Een van de opties zou kunnen zijn om een ​​'tweede' goedkeurder op een 'nieuw' manifest in een 'nieuwe' directory te eisen.'

Hij zei ook dat het team overweegt om een ​​duplicaatcontrolesysteem voor manifesten in te voeren. Nelon wees erop dat het hun bedoeling is om te veel frictie en vertraging bij het indienen van manifesten te voorkomen.