Le Package Support Framework (PSF) est l'un des outils de compatibilité les plus importants de l'écosystème MSIX. Il permet aux applications de bureau héritées de s'exécuter au sein de MSIX en plaçant une couche de lancement et d'exécution devant l'application, en appliquant des correctifs (fixups) et, en option, en exécutant des scripts PowerShell avant ou après l'exécution de l'application.
Cette flexibilité soulève une question de gouvernance à laquelle notre R&D a voulu répondre : quel niveau de risque utilisateur et opérationnel supplémentaire PSF introduit-il, en particulier dans les environnements App Attach d'Azure Virtual Desktop ? Le résultat est une nouvelle analyse de sécurité défensive de Ryan Mangan, CITP FBCS, publiée en libre accès sous une licence Creative Commons CC BY 4.0.
Ce que conclut le rapport
PSF n'est pas intrinsèquement dangereux, mais il doit être considéré comme une couche de compatibilité de pleine confiance (full trust) plutôt que comme une option d'empaquetage par défaut. Un test positif contrôlé a confirmé que les scripts de démarrage PSF s'exécutent bien sous activation interactive, tandis que l'automatisation non interactive les sous-déclarait. L'avertissement pratique pour les équipes de livraison : une installation et un démarrage réussis ne prouvent pas qu'un script configuré s'est réellement exécuté.
Les risques les plus élevés sont la gouvernance des scripts, la large portée de pleine confiance pour les applications de bureau, le comportement des correctifs difficile à inspecter après le déploiement, l'injection dans la chaîne d'approvisionnement avant la signature d'un paquet et la sensibilité d'App Attach au moment du démarrage.
La position recommandée est une utilisation fondée sur des preuves : privilégier d'abord le MSIX natif, ajouter PSF uniquement là où des preuves d'exécution démontrent qu'il est nécessaire, signer et inventorier chaque binaire PSF, traiter les scripts comme du code géré, protéger la chaîne de signature et d'empaquetage, et valider le comportement d'App Attach sur des hôtes équivalents à la production.
Lire le rapport de recherche complet.
Au sein d'un programme de recherche plus large
Ce rapport est l'un des nombreux projets de recherche en cours chez EfficientEther. Nous publions de tels travaux dans un esprit de contribution à la communauté et pour aider les clients à faire des choix éclairés et fondés sur des preuves quant à la manière dont leurs applications sont empaquetées et livrées. D'autres études suivront.
L'empaquetage et la validation de l'étude ont été réalisés avec EtherApps Forge, qui capture l'empreinte réelle de l'application et recommande la voie la plus adaptée parmi MSIX, MSI, IntuneWin, App Attach et les formats portables, en appliquant les correctifs PSF uniquement là où les preuves montrent qu'ils sont réellement nécessaires.
Découvrez l'empaquetage et le déploiement MSIX ou consultez l'empaquetage applicatif agentique pour voir comment se construit une opération d'empaquetage contrôlée et fondée sur les preuves.