Bisher installiere ich alle meine Programme, die ich für Windows benötige, manuell auf die klassische Weise, während ich unter Debian Linux ein schönes Paket Repository habe. Damit habe ich unter Windows leider einen erhöhten Pflegeaufwand, daher wäre es schön, für Windows eine ähnliche Lösung zu haben.
Mir war zwar schon bekannt, dass es seit einiger Zeit auch für Windows vergleichbare Paketmanager wie z.B. Chocolatey oder Ninite gibt, aber bei denen hat mich immer die mangelnde Sicherheit und Vertrauenswürdigkeit der Pakete oder mangelnde Pflege der Pakete bezüglich neuer Versionen und Sicherheitspatches von einer Nutzung abgehalten.
Nun habe ich leider erst heute entdeckt, dass Microsoft seit einiger Zeit mit dem Windows Package Manager (winget) eine eigene nun "offizielle" Lösung anbietet.
Weiß jemand wie es da bezüglich der Sicherheit der im Repository angebotenen Pakete aussieht?
Sind die Pakete bspw. alle kryptografisch signiert, so dass im Bedarfsfall der verwendete Key einer Person, die Pakete ins Repository einstellt, das Vertrauen entzogen und der Key für ungültig erklärt werden kann und das Paketsystem den Anwender darauf hinweist, so dass man diese Pakete, falls man sie installiert hat, automatisiert entfernen kann?
Und gibt es Maßnahmen den Entwicklern von z.B. Open Source Projekten so eine Art offiziellen Key zu geben, mit dem sie ihre Open Source Software signieren können, so dass hier nicht jeder Beliebige ein Paket eines bekannten Open Source Programms in Repo stellt bzw. man die Herkunft zwischen offiziellen Entwicklern eines Projekts vs. irgendwelche Dritte die den Code dieser Projekte nur nehmen und selber zum Paket schnüren unterscheiden kann?
Dass Sha256 Hashs, Microsoft SmartScreen, statische Analyse zur Validierung eingesetzt werden ist mir bekannt, aber welche Maßnahmen werden noch getroffen, so dass man den dort angebotenen Paketen ein Vertrauen zugestehen kann?
Wie sieht es mit der Aktualität der Pakete aus? Werden Pakete, die bekannt gewordene Sicherheitslücken enthalten schnell durch neue Versionen der Pakete ersetzt, in denen diese Sicherheitslücken gestopft wurden oder veralten die im Repo, während es auf der offiziellen Webseite der Projekte neue Versionen gibt?
Gibt es hier eine Art automatisierter Kontrolle, die sicherstellt, dass die Pakete aktuell gehalten werden. Z.B. ein automatisierter Vergleich der Version auf den Webseiten der Open Source Projekte mit der Version im Repo?
Wie wird mit verweisten Paketen umgegangen? Z.B. Warnung an den Nutzer nach n Tagen mit der Möglichkeit, diese zu entfernen?
Und zum Schluss noch eine weitere Frage, setzt ihr auf euren privaten Rechnern irgendeine dieser Paketsysteme Chocolatey, Ninite, winget usw. für Windows ein oder installiert ihr auch noch alles manuell?
Mir war zwar schon bekannt, dass es seit einiger Zeit auch für Windows vergleichbare Paketmanager wie z.B. Chocolatey oder Ninite gibt, aber bei denen hat mich immer die mangelnde Sicherheit und Vertrauenswürdigkeit der Pakete oder mangelnde Pflege der Pakete bezüglich neuer Versionen und Sicherheitspatches von einer Nutzung abgehalten.
Nun habe ich leider erst heute entdeckt, dass Microsoft seit einiger Zeit mit dem Windows Package Manager (winget) eine eigene nun "offizielle" Lösung anbietet.
Weiß jemand wie es da bezüglich der Sicherheit der im Repository angebotenen Pakete aussieht?
Sind die Pakete bspw. alle kryptografisch signiert, so dass im Bedarfsfall der verwendete Key einer Person, die Pakete ins Repository einstellt, das Vertrauen entzogen und der Key für ungültig erklärt werden kann und das Paketsystem den Anwender darauf hinweist, so dass man diese Pakete, falls man sie installiert hat, automatisiert entfernen kann?
Und gibt es Maßnahmen den Entwicklern von z.B. Open Source Projekten so eine Art offiziellen Key zu geben, mit dem sie ihre Open Source Software signieren können, so dass hier nicht jeder Beliebige ein Paket eines bekannten Open Source Programms in Repo stellt bzw. man die Herkunft zwischen offiziellen Entwicklern eines Projekts vs. irgendwelche Dritte die den Code dieser Projekte nur nehmen und selber zum Paket schnüren unterscheiden kann?
Dass Sha256 Hashs, Microsoft SmartScreen, statische Analyse zur Validierung eingesetzt werden ist mir bekannt, aber welche Maßnahmen werden noch getroffen, so dass man den dort angebotenen Paketen ein Vertrauen zugestehen kann?
Wie sieht es mit der Aktualität der Pakete aus? Werden Pakete, die bekannt gewordene Sicherheitslücken enthalten schnell durch neue Versionen der Pakete ersetzt, in denen diese Sicherheitslücken gestopft wurden oder veralten die im Repo, während es auf der offiziellen Webseite der Projekte neue Versionen gibt?
Gibt es hier eine Art automatisierter Kontrolle, die sicherstellt, dass die Pakete aktuell gehalten werden. Z.B. ein automatisierter Vergleich der Version auf den Webseiten der Open Source Projekte mit der Version im Repo?
Wie wird mit verweisten Paketen umgegangen? Z.B. Warnung an den Nutzer nach n Tagen mit der Möglichkeit, diese zu entfernen?
Und zum Schluss noch eine weitere Frage, setzt ihr auf euren privaten Rechnern irgendeine dieser Paketsysteme Chocolatey, Ninite, winget usw. für Windows ein oder installiert ihr auch noch alles manuell?
