Das Package Support Framework (PSF) ist eines der wichtigsten Kompatibilitätswerkzeuge im MSIX-Ökosystem. Es ermöglicht älteren Desktop-Anwendungen, innerhalb von MSIX zu laufen, indem es eine Launcher- und Laufzeitschicht vor die Anwendung stellt, Fixups anwendet und optional PowerShell-Skripte vor oder nach der Ausführung der Anwendung ausführt.
Diese Flexibilität wirft eine Governance-Frage auf, die unsere F&E beantworten wollte: Wie viel zusätzliches Benutzer- und Betriebsrisiko führt PSF ein, insbesondere in Azure-Virtual-Desktop-App-Attach-Umgebungen? Das Ergebnis ist eine neue defensive Sicherheitsanalyse von Ryan Mangan, CITP FBCS, die offen unter einer Creative-Commons-CC-BY-4.0-Lizenz veröffentlicht wurde.
Was das Papier feststellt
PSF ist nicht grundsätzlich unsicher, sollte aber als vertrauenswürdige Kompatibilitätsschicht mit vollem Vertrauen (Full Trust) behandelt werden und nicht als routinemäßiger Paketierungsstandard. Ein kontrollierter Positivtest bestätigte, dass PSF-Startskripte unter interaktiver Aktivierung tatsächlich ausgeführt werden, während nicht interaktive Automatisierung sie zu niedrig meldete. Die praktische Warnung für Bereitstellungsteams: Eine saubere Installation und ein erfolgreicher Start sind kein Beweis dafür, dass ein konfiguriertes Skript tatsächlich ausgeführt wurde.
Die höchsten Risiken sind Skript-Governance, breiter Full-Trust-Umfang für Desktop-Anwendungen, Fixup-Verhalten, das nach der Bereitstellung schwer zu prüfen ist, Supply-Chain-Injektion vor der Signierung eines Pakets und die Empfindlichkeit von App Attach beim Start.
Die empfohlene Haltung ist eine evidenzbasierte Nutzung: zuerst natives MSIX bevorzugen, PSF nur dort hinzufügen, wo Laufzeitnachweise belegen, dass es benötigt wird, jede PSF-Binärdatei signieren und inventarisieren, Skripte als verwalteten Code behandeln, die Signier- und Paketierungs-Pipeline schützen und das App-Attach-Verhalten auf produktionsähnlichen Hosts validieren.
Lesen Sie das vollständige Forschungspapier.
Teil eines umfassenderen Forschungsprogramms
Dieses Papier ist eines von mehreren Forschungsprojekten, die bei EfficientEther laufen. Wir veröffentlichen solche Arbeiten im Geiste der Rückgabe an die Community und um Kunden dabei zu helfen, fundierte, evidenzbasierte Entscheidungen darüber zu treffen, wie ihre Anwendungen paketiert und bereitgestellt werden. Weitere Studien werden folgen.
Die Paketierung und Validierung in der Studie wurden mit EtherApps Forge durchgeführt, das den tatsächlichen Anwendungs-Footprint erfasst und den am besten geeigneten Weg über MSIX, MSI, IntuneWin, App Attach und portable Formate empfiehlt, wobei PSF-Fixups nur dort angewendet werden, wo die Evidenz zeigt, dass sie wirklich erforderlich sind.
Entdecken Sie MSIX-Paketierung und -Bereitstellung oder lesen Sie über agentische Anwendungspaketierung, um zu sehen, wie ein kontrollierter, evidenzbasierter Paketierungsbetrieb entsteht.