Репозиторий Winget страдает от дублирования приложений с искаженными манифестами

На прошлой неделе Microsoft выпустила первую стабильную версию Winget, его встроенный менеджер пакетов для Windows. Инструмент позволяет автоматизировать управление приложениями, массово устанавливая их из централизованного репо, обновляя их все сразу и удаляя с помощью одной команды. Репо открыто для публики и поддерживается энтузиастами, поэтому это привело к появлению искаженных пакетов приложений.

Если вы не знакомы с Winget, это инструмент автоматизации, который поможет вам ускорить установку программного обеспечения на компьютер. Все, что вам нужно сделать, это указать системе, какое программное обеспечение вы хотите. Затем Winget находит последнюю версию (или конкретную версию, которая вам нужна) и устанавливает ее в фоновом режиме. Помимо установки приложений, вы можете использовать Winget для поиска информации о пакетах, управления источниками, обновления приложений, удаления приложений и т. Д.

Вы можете скачать Winget из репозитория проекта на GitHub. Microsoft также планирует интегрировать Winget во все поддерживаемые версии Windows 10. Вы также можете присоединиться к 

Программа предварительной оценки Windows Package Manager если вам нужны автоматические обновления из магазина и вы хотите запускать их в своей версии Windows 10.

Репозиторий Winget теперь заполнен повторяющимися приложениями и искаженными манифестами.

Рекомендации Microsoft штат что независимые поставщики программного обеспечения (ISV), желающие загрузить свое приложение в реестр Winget, могут сделать это, отправив манифест приложения на свой GitHub. Утверждение манифеста - это автоматизированный процесс. Загруженные манифесты автоматически проверяются по набору предопределенных критериев.

После того, как Winget 1.0 стал общедоступным, люди начали отправлять на GitHub множество приложений для включения в репозиторий Winget, включая приложения, которые там уже были.

Более того, некоторые запросы на вытягивание содержали неверные имена приложений в манифестах или «плохие» ссылки, из которых приложение должно быть получено. В ряде случаев новые заявки будут перезаписывать манифесты существующих приложений с неполной информацией.

КровотечениеКомпьютер предоставляет примеры таких манифестов. Сообщается, что файлы манифеста для приложения PrimoPDF NitroPDF содержат искаженные PackageIdentifier ("NitroPDFIncNitroPDFPtyLtd. PrimoPDF ") и URL-адрес загрузки.

Еще один хороший пример того, насколько серьезна проблема, - это правильно составленный файл манифеста, который был перезаписан участниками, но с неполной информацией.

Хорошо, что деформированные манифесты были быстро восстановлены, но должен быть механизм, предотвращающий такие инциденты в будущем.

Сообщество предлагает создать команду модераторов для проверки файлов манифеста, прежде чем они будут одобрены и станут доступными для всех.

Демитриус Нелон из Microsoft, ключевой человек, стоящий за разработкой Winget, признал проблему и планирует обсудить ее с командой. Он приходит со своим собственным решением:

«Один из вариантов может потребовать« второго »утверждающего для« нового »манифеста в« новом »каталоге».

Он также упомянул, что команда рассматривает возможность создания дублирующей системы проверки манифестов. Нелон указал, что их намерение состоит в том, чтобы избежать слишком больших трений и задержек по времени для людей, подающих манифесты.