La semana pasada, Microsoft lanzó la primera versión estable de su administrador de paquetes de Windows 10, Winget, que permite a los usuarios administrar aplicaciones a través de la línea de comandos.
Al igual que los administradores de paquetes disponibles en otras plataformas, Winget permite a los usuarios de Windows automatizar la administración de aplicaciones cuando se trata de instalar, configurar, actualizar y desinstalar aplicaciones.
Pero, durante el fin de semana, varios usuarios inundaron el registro de software de Winget con solicitudes de extracción de aplicaciones que estaban duplicadas o mal formadas, lo que generó preocupaciones sobre la integridad del ecosistema de Winget.
El repositorio de Winget se inundó de aplicaciones duplicadas y manifiestos mal formados
Microsoft presentó por primera vez la versión preliminar de su administrador de paquetes de Windows 10 en Microsoft Build 2020 . Desde entonces, Microsoft desarrolló Winget como un proyecto de código abierto en GitHub.
La semana pasada marcó un hito cuando se lanzó la primera versión estable de Winget .
Las pautas de Microsoft establecen que los proveedores de software independientes (ISV) que buscan cargar su aplicación en el registro de Winget pueden hacerlo enviando el manifiesto de la aplicación en su GitHub.
Además, cuando los contribuyentes envían un manifiesto al GitHub de Winget, con algunas excepciones, el bot de Winget valida automáticamente los manifiestos según los criterios establecidos.
Pero, durante este fin de semana del Día de los Caídos, surgieron múltiples solicitudes de extracción en el GitHub de Winget que contenían nombres de aplicaciones que ya existían en el registro del administrador de paquetes.
Además, algunas solicitudes de extracción contenían nombres de aplicaciones incorrectos en los manifiestos o enlaces «incorrectos» desde donde se debería obtener la aplicación.
Y, en algunos otros casos, las nuevas solicitudes de extracción sobrescriben los manifiestos de las aplicaciones existentes , con información incompleta.
El usuario KaranKad planteó originalmente este problema durante el fin de semana, después de recopilar más de cinco docenas de ejemplos de solicitudes de extracción no válidas que se realizaron al repositorio de Winget.
«La gente envía manifiestos erróneos o duplicados sin comprobar si la aplicación ya existe o no en este repositorio».
«Cree un grupo de colaboradores activos que sepan lo que están haciendo, con la capacidad de cerrar un PR para que puedan evitar que ingresen PR malos o duplicados», sugirió el usuario.
De los muchos ejemplos publicados, BleepingComputer notó cómo esto era especialmente cierto para una aplicación que lleva el nombre de «PrimoPDF»:
Según se informa, los archivos de manifiesto de la aplicación PrimoPDF de NitroPDF contienen PackageIdentifier («NitroPDFIncNitroPDFPtyLtd.PrimoPDF») y URL de descarga con formato incorrecto .
En otros casos, observó BleepingComputer, los colaboradores sobrescribieron los manifiestos de aplicaciones legítimas como el reproductor VLC de VideoLAN y la aplicación Steam de Valve, pero con información incompleta:
BleepingComputer ha informado recientemente sobre ecosistemas de código abierto como PyPI inundados con componentes basura de spam.
En casos más graves, se ha detectado que los componentes falsificados se cargan en los repositorios de npm y RubyGems .
Si no se controlan, estos paquetes mal formados, incompletos o directamente maliciosos pueden allanar el camino para cualquier cosa, desde simples errores de aplicación hasta un ataque exitoso a la cadena de suministro.
Aunque estas solicitudes de extracción de Winget, que introdujeron información incompleta en los manifiestos de las aplicaciones, se revertieron en breve [ 1 , 2 ], ¿qué se está haciendo para evitar tales instancias en el futuro?
Los desarrolladores proponen múltiples soluciones
Después de este incidente en curso, varios desarrolladores han sugerido soluciones o prácticas que Winget puede adoptar para garantizar la integridad de sus paquetes.
«Realmente creo que cualquier PackageIdentifer nuevo debería tener que ser revisado por alguien del equipo de Winget (o si quieren iniciar un sistema de contribuyentes reconocido, me arrojaría mi sombrero en el ring)», sugirió Easton Pillay, desarrollador y Colaborador de Winget.
Pillay también cree que automatizar completamente la adición de nuevos paquetes de Winget introducirá toneladas de duplicados.
En el mismo hilo, el desarrollador también propuso que los manifiestos de Winget recién creados deberían requerir una revisión manual :
«Sé que estamos tratando de no perder el tiempo del moderador, pero dado que [los colaboradores] están cometiendo metadatos incorrectos conocidos de forma predeterminada …, el bot no se da cuenta y luego alguien que sabe que el error existe tiene que regresar y corregir todos los errores (o vivir con los metadatos equivocados, lo cual es una tragedia; D) «, dijo Pillay.
Demitrius Nelon de Microsoft, una persona clave detrás del desarrollo de Winget, ha reconocido el problema y planea planteárselo al equipo.
Nelon también ha propuesto una posible solución:
«Una de las opciones podría requerir un ‘segundo’ aprobador en un ‘nuevo’ manifiesto en un directorio ‘nuevo'».
«El bot tiene un concepto que podría funcionar para ese escenario. Simplemente no quiero poner demasiada fricción y demora en las personas que envían manifiestos, ni demasiada presión sobre los ‘moderadores'».
«Tenemos una función en el trabajo pendiente para detectar duplicados. Es más una advertencia que una acción de bloqueo. Tenemos algunos escenarios de cambio de nombre ‘válidos’ esperados», explicó Nelon.
BleepingComputer se ha puesto en contacto con Micro.soft para obtener comentarios antes de la publicación y estamos esperando su respuesta.
Funete: www.bleepingcomputer.com
