Ärger für den Windows 10 Package Manager - Chaos im Repository

Von Nadine Juliana Dressler am 01.06.2021 20:22 Uhr
7 Kommentare
Für den erst vor Kurzem in der Version 1.0 veröffentlichten Windows Package Manager Winget gibt es Ärger: Laut einem Medienbericht überfluten jetzt sogenannte Pull-Requests für Apps, die entweder doppelt vorhanden oder fehlerhaft sind, das Repository bei Github.

Dadurch herrscht derzeit ein absolutes Chaos für die verfügbaren Apps. Das berichtet das Online-Magazin Bleeping Computer und erläutert, was da nun eigentlich passiert: Nachdem Microsoft die erste stabile Version seines Windows-10-Paketmanagers Winget veröffentlicht hat, mit dem Nutzer Apps über die Kommandozeile verwalten können, begann ein Ansturm auf das Repository. Nutzer überschwemmten die Software-Registry von Winget mit Pull-Requests für Apps, die entweder doppelt vorhanden oder fehlerhaft sind.

Daher kommen nun Bedenken hinsichtlich der Integrität des Winget-Ökosystems auf. Microsofts Richtlinien besagen, dass unabhängige Softwareanbieter (ISVs), die ihre Anwendung in die Winget-Registry hochladen möchten, dies tun können, indem sie das Manifest der Anwendung auf GitHub einreichen. Mit einigen Ausnahmen werden diese Anfrage dann automatisch vom Winget-Bot anhand festgelegter Kriterien validiert. Das läuft schon eine Weile so.

Windows Package Manager Preview
Microsoft rüstet den Windows Package Manager mit einer Deinstallations-Funktion aus

Über das Memorial-Day-Wochenende in den USA tauchten jedoch mehrere Pull-Requests auf, die Namen von Anwendungen enthielten, die bereits in der Registry des Paketmanagers existierten. Einige Pull Requests enthielten falsche Anwendungsnamen oder auch fehlerhafte Links, von denen die Anwendung mithilfe des Managers geholt werden sollte. In anderen Fällen überschrieben neue Pull-Requests die Manifeste bestehender Anwendungen mit unvollständigen neuen, teils falschen Informationen. Das betraf zum Beispiel bekannte Anwendungen wie den VLC-Player von VideoLAN und die Steam-App von Valve.

Mit Absicht oder nicht: Es herrscht Chaos

Nutzer reichen Manifeste ein, ohne zu prüfen, ob die App bereits in dem Repository existiert oder nicht. Was zunächst nur nach einem großen Chaos klingt, könnte auch einen anderen Hintergrund haben. Unkontrolliert können fehlerhafte, unvollständige oder sogar bösartige Pakete den Weg für alles Mögliche ebnen, von einfachen Anwendungsfehlern bis hin zu einem erfolgreichen Supply-Chain-Angriff.

Entwickler haben daher schon erste Lösungen vorgeschlagen, die Winget anwenden könnte, um die Integrität seiner Pakete zu gewährleisten. Laut Bleeping Computer hat sich Microsoft-Manager Demitrius Nelon, eine Schlüsselperson hinter der Entwicklung von Winget, nun eingeschaltet und das Problem bestätigt. Eine Lösung gibt es aber bisher noch nicht.

Die neue stabile Version ist bereits für Windows Insider und Personen, die der Windows Package Manager Insider-Gruppe beigetreten sind, verfügbar. Wer das Update manuell installieren möchten, findet das Paket auf der GitHub-Veröffentlichungsseite. Das Unternehmen plant außerdem, die neue Version des Windows Package Managers als automatisches Update über den Microsoft Store auf allen PC mit Windows 10 Version 1809 oder neuer auszuliefern. Das Open-Source-Tool lässt sich über dieses GitHub-Repository herunterladen und ausprobieren.

Siehe auch:

7 Kommentare lesen & antworten
Jede Woche neu: Top-News per E-Mail
Verwandte Themen
Windows 10 Open Source
Desktop-Version anzeigen
Hoch © 2021 WinFuture Impressum Datenschutz Cookies