I forrige uke lanserte Microsoft pakkebehandleren Windows Package Manager, som skal gjøre det enkelt for litt avanserte Windows-brukere å installere, oppdatere og slette mye programvare fra både Microsoft og tredjeparter ved hjelp av enkle tekstkommandoer. Da Digi.no omtalte løsningen tidligere denne uken, støttet den nærmere 1500 ulike programvareprodukter.
Det er fullt mulig for alle å sende inn «pull request» med manifester for nye eller oppdaterte programmer. Men nå viser det seg at dette ikke fungerer så godt.
Kun en automatisk prosess
Ifølge Bleeping Computer, som viser til denne diskusjonstråden, har Github-kontoen for Windows Package Manager blitt oversvømmet av duplikater og manifester med feil. Blant annet har noen har tydelig lagt til programvare uten å sjekke hva som er tilgjengelig fra før.
I utgangspunktet blir innsendte manifest validert av en automatisk prosess som sjekker om programvarepakken overholder Microsofts policyer for dette, samt at den ikke er kjent for å være ondsinnet. Men dette er tydeligvis ikke nok.
Derfor er det flere som nå stiller spørsmål ved integriteten til systemet.
Bør studere konkurrenten
Blant annet spør én deltaker i diskusjonen om hva som skjer dersom han for eksempel sender en forespørsel som fører til at Chrome-pakken installerer Firefox i stedet. Han foreslår at Microsoft kikker på hvordan dette gjøres med Chocolatey, en tredjeparts pakkebehandler basert på Microsofts Nuget-teknologi. Chocolatey har eksistert siden 2017.
Alle nye versjoner av pakker som sendes til Chocolatey blir vurdert av mennesker før de godkjennes.
Microsoft-ansatte Demitrius Nelon (denelon), som er en nøkkelperson i Windows Package Manager-prosjektet, har også deltatt i diskusjonen og ser ut til å være åpen for at det dannes en form for frivillig moderatorkorps som kan være med på å godkjenne nye eller oppdaterte pakker.
Ble kalt et «sikkerhetsmareritt» – slik beroliger Microsoft kundene