W repozytorium Winget występują zduplikowane aplikacje ze zniekształconymi manifestami
W zeszłym tygodniu Microsoft wydała pierwszą stabilną wersję Wingeta, jego wbudowany menedżer pakietów dla systemu Windows. Narzędzie pozwala zautomatyzować zarządzanie aplikacjami, instalując je zbiorczo ze scentralizowanego repozytorium, aktualizując je wszystkie naraz i odinstalowując za pomocą jednego polecenia. Repozytorium jest otwarte dla publiczności i obsługiwane przez entuzjastów, co spowodowało pojawienie się zniekształconych pakietów aplikacji.
Reklama
Jeśli nie znasz Wingeta, jest to narzędzie do automatyzacji, które pomaga przyspieszyć instalowanie oprogramowania na komputerze. Wszystko, co musisz zrobić, to powiedzieć systemowi, jakiego oprogramowania chcesz. Następnie Winget znajduje najnowszą wersję (lub tę, której potrzebujesz) i instaluje ją po cichu w tle. Oprócz instalowania aplikacji możesz używać Winget do wyszukiwania informacji o pakietach, zarządzania źródłami, aktualizowania aplikacji, odinstalowywania aplikacji itp.
Możesz pobrać Wingeta z repozytorium projektu na GitHub. Microsoft planuje również zintegrować Winget ze wszystkimi obsługiwanymi wersjami w systemie Windows 10. Możesz także dołączyć do Program Insider Menedżera pakietów systemu Windows jeśli chcesz automatyczne aktualizacje ze sklepu i chcesz uruchomić je w swojej wersji systemu Windows 10.
Repo Winget jest teraz wypełnione zduplikowanymi aplikacjami, zniekształconymi manifestami
Wytyczne Microsoft stan że niezależni dostawcy oprogramowania (ISV), którzy chcą przesłać swoją aplikację do rejestru Winget, mogą to zrobić, przesyłając manifest aplikacji na swoim GitHubie. Zatwierdzenie manifestu jest procesem zautomatyzowanym. Przesłane manifesty są automatycznie weryfikowane pod kątem zestawu wstępnie zdefiniowanych kryteriów.
Po publicznym udostępnieniu Wingeta 1.0 ludzie zaczęli przesyłać do GitHub mnóstwo aplikacji, które miały zostać uwzględnione w repozytorium Wingeta, w tym aplikacje, które były już tam dostępne.
Co więcej, niektóre pull requesty zawierały nieprawidłowe nazwy aplikacji w manifestach lub „złe” linki, z których aplikacja powinna zostać pobrana. W wielu przypadkach nowe zgłoszenia zastępowałyby istniejące manifesty wniosków z niepełnymi informacjami.
Syczący komputer podaje przykłady takich manifestów. Pliki manifestu aplikacji PrimoPDF w NitroPDF podobno zawierają zniekształcone Identyfikator pakietu ("NitroPDFIncNitroPDFPtyLtd. PrimoPDF”) i pobierz adres URL.
Innym dobrym przykładem tego, jak poważny jest problem, jest prawidłowo skomponowany plik manifestu, który został nadpisany przez współtwórców, ale z niepełnymi informacjami.
Dobrze, że zniekształcone manifesty zostały szybko cofnięte, ale powinien istnieć mechanizm zapobiegający takim incydentom w przyszłości.
Społeczność sugeruje, aby zespół moderatorów sprawdzał pliki manifestu, zanim zostaną zatwierdzone i staną się dostępne dla wszystkich.
Demitrius Nelon z Microsoftu, kluczowa osoba stojąca za rozwojem Wingeta, przyznał się do problemu i planuje omówić go z zespołem. On pochodzi z własnym rozwiązaniem:
„Jedną z opcji może być wymaganie „drugiego” zatwierdzającego w „nowym” manifeście w „nowym” katalogu”.
Wspomniał również, że zespół rozważa stworzenie podwójnego systemu sprawdzania manifestów. Nelon zwrócił uwagę, że ich intencją jest uniknięcie zbyt dużego tarcia i opóźnień czasowych dla osób składających manifesty.