Доверяет ли «winget» только тому, что установщик каждой программы выбрал по умолчанию?

Question

Доверяет ли «winget» только тому, что установщик каждой программы выбрал по умолчанию?

Недавно я узнал об удивительной (в теории) команде «winget», встроенной в Windows 10.

Но кое-что меня беспокоит: во многих программах в установщике выбраны всевозможные настройки по умолчанию, враждебные пользователю, от «включить телеметрию» до «установить также это дополнительное нежелательное вредоносное ПО». Всякий раз, когда я устанавливаю какое-либо программное обеспечение вручную, я стараюсь отключить все это. Но что же делать?

Что ж, я не осмелился «обновить все», чтобы опробовать его, поэтому я выбрал случайную, малоиспользуемую и нормальную программу, чтобы опробовать ее: Krita.

Раньше я устанавливал Krita на машину вручную. Теперь я использовалобновить Криту.

Это сработало (но только после того, как я вручную закрыл Krita и принял диалоговое окно «UAC», что заставляет меня задаться вопросом, насколько это может быть автоматизировано), но на моем рабочем столе появился ярлык Krita, который представляет собой флажок в установщике, который отмечено по умолчанию, но я бы никогда не оставил его отмеченным, если бы это делал я.

Так что это уже в значительной степени говорит мне о том, что разработчик программы доверяет использовать все, что он хочет, чтобы вы использовали.

К сожалению, поскольку это кажется правдой, для меня это бесполезно. Слишком многие программы слишком стремятся повторно включить нежелательные для пользователя параметры при обновлении (при этом почти всегда заново запускается весь установщик).

Все еще,было бы так приятно, если бы я мог им воспользоваться, поэтому я все еще спрашиваю здесь, можете ли вы рассказать мне какой-нибудь способ решения этой проблемы безопасности и конфиденциальности.

2

windows windows-10 security privacy winget

Источник

Capone 15 мар '23 в 13:25

3 ответа

Другие вопросы по тегам windows windows-10 security privacy winget

Destroy666 15 мар '23 в 14:59 2023-03-15 14:59 · Answer 1 · 2023-03-15 14:59

Во-первых, вы неправильно понимаете, что такое вингет . Это менеджер пакетов, который хочет быть похожим на менеджеры пакетов Linux. Таким образом, он может устанавливать пакеты из многих источников. Конечно, если выбранный вами источник не заслуживает доверия, то winget мало что сможет сделать с безопасностью вашего устройства. Но давайте предположим, что мы говорим об официальных источниках.

Во-вторых, ваш эксперимент ничего не сказал вам о том, полностью ли программное обеспечение доверяет установщикам. Для этого вам необходимо понять процесс принятия посылки. Упомянутые официальные источники имеют некоторые процессы проверки. Microsoft имеет список политик . Один из них ссылается на описание Сообществонежелательного программного обеспечения , которое в основном охватывает описанные вами случаи.

Вы должны быть уведомлены о том, что происходит на вашем устройстве, в том числе о том, что делает программное обеспечение и активно ли оно.

Программное обеспечение, демонстрирующее отсутствие выбора, может:

(...)

Устанавливайте, переустанавливайте или удаляйте программное обеспечение без вашего разрешения, взаимодействия или согласия.

Устанавливайте другое программное обеспечение без четкого указания его связи с основным программным обеспечением.

Модераторы все точно проверяют? Я не думаю, что кто-то сможет ответить, но имейте в виду, что всегда есть место человеческим ошибкам. Точно так же, как бывает, когда можно пропустить случайный полускрытый флажок.

Вы также всегда можете использовать--overrideили--interactive переключатели для передачи различных параметров установщику в случае необходимости.

harrymc 15 мар '23 в 14:34 2023-03-15 14:34 · Answer 2 · 2023-03-15 14:34

На вопрос о безопасности репозитория Winget сотрудник Microsoft ответил так:

Репозиторий приложений сообщества диспетчера пакетов Windows выполняет несколько автоматических сканирований отправленных пакетов, включая динамический анализ. После успешного завершения модератор также проверит метаданные перед добавлением пакета. В первую очередь оно поддерживается сообществом, поэтому обновления для новых версий программного обеспечения зависят от сообщества или издателя, которые поддерживают их актуальность. Мы предоставили инструменты, которые помогут издателям автоматизировать этот процесс, используя https://github.com/microsoft/winget-create.

Похоже, что материалы сканируются, а результаты просматриваются модератором. Вы либо доверяете процессу, либо нет, но кажется, что winget не доверяет ничему, что не проходит через этот процесс.

Я отмечаю, что когда вы загружаете и устанавливаете пакет с какого-либо веб-сайта, он сканируется только вашим локальным антивирусом, и вы не видите никаких результатов или метаданных. Winget в этом отношении несколько безопаснее.

Journeyman Geek 15 мар '23 в 14:52 2023-03-15 14:52 · Answer 3 · 2023-03-15 14:52

Winget можно установить из магазина MS, но у него также есть собственный репозиторий.

Я не могу сказать, продолжится ли обновление, но аргумент команды winget install and update имеет несколько интересных опций.

        -i,--interactive                     Request interactive installation; user input may be needed`

Таким образом, вы можете настроить параметры во время первоначальной установки или

          --override                           Override arguments to be passed on to the installer`

Для этого потребуется, чтобы установщик приложения имел нужные вам аргументы.

Вы можете обновить приложения с определенными параметрами отдельно, а затем использовать winget для массового обновления остальных. Это немного грязно, но это лучший вариант

Вы можете посмотреть варианты с помощьюиwinget update -?