El Package Support Framework (PSF) es una de las herramientas de compatibilidad más importantes del ecosistema MSIX. Permite que las aplicaciones de escritorio heredadas se ejecuten dentro de MSIX colocando una capa de lanzador y tiempo de ejecución delante de la aplicación, aplicando correcciones (fixups) y, opcionalmente, ejecutando scripts de PowerShell antes o después de que la aplicación se ejecute.
Esa flexibilidad plantea una cuestión de gobernanza que nuestro equipo de I+D quiso responder: ¿cuánto riesgo adicional de usuario y operativo introduce PSF, especialmente en entornos de App Attach de Azure Virtual Desktop? El resultado es un nuevo análisis de seguridad defensiva de Ryan Mangan, CITP FBCS, publicado de forma abierta bajo una licencia Creative Commons CC BY 4.0.
Qué concluye el informe
PSF no es intrínsecamente inseguro, pero debe tratarse como una capa de compatibilidad de plena confianza (full trust) y no como una opción de empaquetado por defecto. Una prueba positiva controlada confirmó que los scripts de inicio de PSF sí se ejecutan bajo activación interactiva, mientras que la automatización no interactiva los notificó por debajo de lo real. La advertencia práctica para los equipos de entrega: una instalación y un inicio correctos no son evidencia de que un script configurado realmente se ejecutó.
Los mayores riesgos son la gobernanza de scripts, el amplio alcance de plena confianza para aplicaciones de escritorio, el comportamiento de los fixups difícil de inspeccionar tras el despliegue, la inyección en la cadena de suministro antes de firmar un paquete y la sensibilidad de App Attach en el momento del inicio.
La posición recomendada es un uso basado en evidencia: priorizar primero MSIX nativo, añadir PSF solo donde la evidencia en tiempo de ejecución demuestre que es necesario, firmar e inventariar cada binario de PSF, tratar los scripts como código gestionado, proteger la canalización de firma y empaquetado, y validar el comportamiento de App Attach en hosts equivalentes a producción.
Lea el informe de investigación completo.
Parte de un programa de investigación más amplio
Este informe es uno de varios proyectos de investigación en curso en EfficientEther. Publicamos trabajos como este con el espíritu de contribuir a la comunidad y de ayudar a los clientes a tomar decisiones informadas y basadas en evidencia sobre cómo se empaquetan y entregan sus aplicaciones. Seguirán más estudios.
El empaquetado y la validación del estudio se realizaron con EtherApps Forge, que captura la huella real de la aplicación y recomienda la ruta más adecuada entre MSIX, MSI, IntuneWin, App Attach y formatos portables, aplicando correcciones de PSF solo donde la evidencia demuestra que son realmente necesarias.
Explore el empaquetado y la implementación de MSIX o consulte el empaquetado agéntico de aplicaciones para ver cómo se construye una operación de empaquetado controlada y basada en evidencia.