Microsoft、Windows Package Managerリポジトリの予測可能な欠陥を見逃す

Winget

Microsoftが、Windows Package Managerリポジトリへパッケージを登録する際の自動化されたプロセスに問題があった事を認め、手動レビューを開始するように方針を転換したことがわかりました(Windows Central)。

Windows Package Managerは、Linux用のパッケージマネージャーのように、さまざまなプログラムを簡単に管理、インストールすることができるWindows用のツールです。1年のプレビュー期間を経て、Build 2021でv1.0が公開されると共に、Windows Package Manager Manifest Creatorのプレビュー版が公開され、パッケージをリポジトリに登録する際のプロセスが簡素化されました。

ただし、このツールによってパッケージの提出が簡単になりすぎたせいか、重複したパッケージや、有効期限のあるインストーラーを使用したパッケージ、ユーザーの入力が必要なインスターラーを使用したパッケージなど、問題のあるパッケージがいくつか登録された模様。

The Registerによると、AppleのiCloudクライアントのパッケージ、ValveのSteamランタイム、Zoomミーティングのインストーラーのパッケージなどが影響を受けたとされています。

GitHubではKaranKadというユーザーが、マニフェストの不備や重複を指摘しており、投稿でこの問題をより詳しく説明し、解決策を提案しています。

Microsoftは自動マージを停止し、手動レビュープロセスを開始するとのことですが、自動化されたプロセスは問題を引き起こす可能性が高く、Microsoftの開発チームが何故この問題を認識していなかったのか疑問視されています。

スポンサーリンク