Il Package Support Framework (PSF) è uno degli strumenti di compatibilità più importanti dell'ecosistema MSIX. Consente alle applicazioni desktop legacy di essere eseguite all'interno di MSIX collocando un livello di avvio e runtime davanti all'applicazione, applicando correzioni (fixup) ed eventualmente eseguendo script PowerShell prima o dopo l'esecuzione dell'applicazione.
Questa flessibilità solleva una questione di governance a cui il nostro team di R&S ha voluto rispondere: quanto rischio aggiuntivo per l'utente e operativo introduce PSF, in particolare negli ambienti App Attach di Azure Virtual Desktop? Il risultato è una nuova analisi di sicurezza difensiva di Ryan Mangan, CITP FBCS, pubblicata in modo aperto con licenza Creative Commons CC BY 4.0.
Cosa conclude lo studio
PSF non è intrinsecamente non sicuro, ma deve essere trattato come un livello di compatibilità a piena attendibilità (full trust) anziché come opzione di pacchettizzazione predefinita. Un test positivo controllato ha confermato che gli script di avvio di PSF vengono effettivamente eseguiti con l'attivazione interattiva, mentre l'automazione non interattiva li sotto-segnalava. L'avvertimento pratico per i team di rilascio: un'installazione e un avvio riusciti non sono la prova che uno script configurato sia stato effettivamente eseguito.
I rischi maggiori sono la governance degli script, l'ampio ambito di piena attendibilità per le applicazioni desktop, il comportamento dei fixup difficile da ispezionare dopo il deployment, l'iniezione nella supply chain prima della firma di un pacchetto e la sensibilità di App Attach al momento dell'avvio.
La posizione consigliata è un utilizzo basato sulle evidenze: privilegiare prima il MSIX nativo, aggiungere PSF solo dove le evidenze di runtime ne dimostrano la necessità, firmare e inventariare ogni binario PSF, trattare gli script come codice gestito, proteggere la pipeline di firma e pacchettizzazione e convalidare il comportamento di App Attach su host equivalenti alla produzione.
Leggi lo studio di ricerca completo.
Parte di un programma di ricerca più ampio
Questo studio è uno dei numerosi progetti di ricerca in corso presso EfficientEther. Pubblichiamo lavori come questo nello spirito di restituire valore alla community e di aiutare i clienti a compiere scelte informate e basate sulle evidenze su come le loro applicazioni vengono pacchettizzate e distribuite. Seguiranno altri studi.
La pacchettizzazione e la convalida dello studio sono state effettuate con EtherApps Forge, che acquisisce l'impronta reale dell'applicazione e raccomanda il percorso più adatto tra MSIX, MSI, IntuneWin, App Attach e formati portabili, applicando i fixup PSF solo dove le evidenze dimostrano che sono davvero necessari.
Esplora il packaging e la distribuzione MSIX o consulta il packaging agentico delle applicazioni per vedere come si costruisce un'operazione di packaging controllata e basata sulle evidenze.