Winget repo lider av dupliserte apper med misformede manifester

Forrige uke Microsoft ga ut den første stabile versjonen av Winget, dens innebygde pakkebehandling for Windows. Verktøyet tillater automatisering av appadministrasjon ved å installere dem fra en sentralisert repo i bulk, oppdatere dem alle samtidig og avinstallere dem med en enkelt kommando. Repoen er åpen for offentligheten og vedlikeholdes av entusiaster, så dette førte til at feilutformede apppakker dukket opp.

Hvis du ikke er kjent med Winget, er det et automatiseringsverktøy som hjelper deg å få fart på installasjonen av programvare på en datamaskin. Alt du trenger å gjøre er å fortelle systemet hvilken programvare du vil ha. Deretter finner Winget den nyeste versjonen (eller den spesifikke utgivelsen du trenger) og installerer den stille i bakgrunnen. I tillegg til å installere apper, kan du bruke Winget til å finne informasjon om pakker, administrere kilder, oppgradere apper, avinstallere apper osv.

Du kan laste ned Winget fra prosjektets depot på GitHub. Microsoft planlegger også å integrere Winget i alle støttede versjoner på Windows 10. Du kan også bli med 

Windows Package Manager Insider-program hvis du vil ha automatiske oppdateringer fra butikken, og du vil kjøre den på din versjon av Windows 10.

Winget-repoen er nå fylt med dupliserte apper, misformede manifester

Microsofts retningslinjer stat at uavhengige programvareleverandører (ISV-er) som ønsker å laste opp applikasjonen sin til Winget-registeret, kan gjøre det ved å sende inn applikasjonens manifest på GitHub. Manifestgodkjenningen er en automatisert prosess. De opplastede manifestene valideres automatisk mot et sett med forhåndsdefinerte kriterier.

Etter den offentlige tilgjengeligheten av Winget 1.0, begynte folk å sende inn mange apper til GitHub for å bli inkludert i Wingets repo, inkludert appene som allerede var tilgjengelige der.

Dessuten inneholdt noen pull-forespørsler feil applikasjonsnavn i manifestene eller "dårlige" lenker der applikasjonen skulle hentes. I en rekke tilfeller vil nye innsendinger overskrive eksisterende søknadsmanifester, med ufullstendig informasjon.

BleepingComputer gir eksempler på slike manifester. Manifestfilene for NitroPDFs PrimoPDF-app inneholder angivelig feil utformet PackageIdentifier ("NitroPDFIncNitroPDFPtyLtd. PrimoPDF") og last ned URL.

Et annet godt eksempel på hvor alvorlig problemet er, er den riktig sammensatte manifestfilen som ble overskrevet av bidragsytere, men med ufullstendig informasjon.

Det gode med at misdannede manifester ble raskt tilbakeført, men det burde være en mekanisme for å forhindre slike hendelser i fremtiden.

Fellesskapet foreslår å ha et team med moderatorer til å sjekke manifestfilene før de blir godkjent og blir tilgjengelige for alle.

Microsofts Demitrius Nelon, en nøkkelperson bak Wingets utvikling, har erkjent problemet og at han planlegger å ta det opp med teamet. Han kommer med sin egen løsning:

"Et av alternativene kan være å kreve en "andre" godkjenner på et "nytt" manifest i en "ny" katalog."

Han nevnte også at teamet vurderer å lage et duplikatsjekksystem for manifester. Nelon påpekte at deres intensjon er å unngå for mye friksjon og tidsforsinkelse for folk som sender inn manifester.