Des début difficiles pour WinGet inondé par des paquets dupliqués

Il y a quelques jours, Microsoft a dévoilé la première version stable de son gestionnaire de paquets WinGet. De nombreux développeurs ont proposé des applications pour venir alimenter les dépôts de WinGet. Néanmoins, il y a eu quelques petits soucis. Résultat : les dépôts sont inondés de paquets dupliqués et malformés.

Après plusieurs mois de développement, Microsoft a publié WinGet 1.0 comme nous vous le rapportions la semaine dernière. Pour rappel, WinGet pour Windows Package Manager, permets d'automatiser l'installation de logiciels sur une machine Windows, mais également la mise à jour, la configuration et la désinstallation de logiciels.

Pour que ce gestionnaire de paquets soit pertinent, il faut que les dépôts soient riches en paquets, tout en sachant qu'un paquet correspond à une application. Les développeurs semblent jouer le jeu puisque pendant le week-end, il y a eu de nombreux paquets publiés sur WinGet, peut-être même un peu trop, car tout ce n'est pas passé comme prévu.

Pour publier des applications, les contributeurs externes doivent publier un manifeste sur le Github de WinGet. Un bot WinGet s'occupe de valider automatiquement les paquets soumis pour les valider ou non, en fonction de certains critères.

Néanmoins, il y a eu des paquets publiés avec des informations incorrectes, par exemple des noms d'applications ou des liens incorrects, pour des applications déjà référencées dans la base de WinGet. Dans certains cas, les publications incorrectes ont même écrasé les applications existantes. Par exemple, le paquet du célèbre lecteur VLC Media Player a été modifié avec des informations incorrectes (j'ai bien dit des informations incorrectes, pas malveillantes). Mais finalement, il ne faut pas exclure que certains paquets soient modifiés dans le but d'intégrer des informations malveillantes comme un lien, par exemple. En fait, les contributeurs ont poussé des applications sans regarder au préalable si elles étaient disponibles ou non dans les dépôts.

Suite à cet incident, il va falloir que Microsoft propose des solutions pour éviter que cela se reproduise. Le Bot WinGet ne semble pas en mesure de gérer la situation tout seul. Les développeurs proposent d'ailleurs que les paquets avec un nouveau PackageIndentifier soient vérifiés par quelqu'un dans l'équipe WinGet. Quoi qu'il en soit, il s'agit d'un faux départ pour WinGet et disons que ce qui vient de se passer ne va pas nous rassurer... 

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 3057 articlesVoir toutes les publications de cet auteur

One thought on “Des début difficiles pour WinGet inondé par des paquets dupliqués

  • Microsoft devrait racheter chocolatey … au lieu de repartir de zéro ^^

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.