Het Package Support Framework (PSF) is een van de belangrijkste compatibiliteitstools in het MSIX-ecosysteem. Het laat verouderde desktoptoepassingen binnen MSIX draaien door een launcher- en runtimelaag voor de toepassing te plaatsen, fixups toe te passen en optioneel PowerShell-scripts uit te voeren voor of na het uitvoeren van de toepassing.
Die flexibiliteit roept een governancevraag op die ons R&D-team wilde beantwoorden: hoeveel extra gebruikers- en operationeel risico introduceert PSF, vooral in App Attach-omgevingen van Azure Virtual Desktop? Het resultaat is een nieuwe defensieve beveiligingsanalyse van Ryan Mangan, CITP FBCS, openlijk gepubliceerd onder een Creative Commons CC BY 4.0-licentie.
Wat het rapport vaststelt
PSF is niet inherent onveilig, maar moet worden behandeld als een vertrouwde compatibiliteitslaag met volledige bevoegdheden (full trust) in plaats van als standaard packaging-optie. Een gecontroleerde positieve test bevestigde dat PSF-startscripts wel degelijk worden uitgevoerd bij interactieve activering, terwijl niet-interactieve automatisering ze te laag rapporteerde. De praktische waarschuwing voor deliveryteams: een geslaagde installatie en start zijn geen bewijs dat een geconfigureerd script daadwerkelijk is uitgevoerd.
De grootste risico's zijn scriptgovernance, de brede full-trust-reikwijdte voor desktoptoepassingen, fixup-gedrag dat na implementatie moeilijk te inspecteren is, supply chain-injectie vóór het ondertekenen van een package en de gevoeligheid van App Attach bij het opstarten.
De aanbevolen houding is evidence-based gebruik: geef eerst de voorkeur aan native MSIX, voeg PSF alleen toe waar runtime-bewijs aantoont dat het nodig is, onderteken en inventariseer elke PSF-binary, behandel scripts als beheerde code, bescherm de ondertekenings- en packagingpijplijn en valideer App Attach-gedrag op productie-equivalente hosts.
Lees het volledige onderzoeksrapport.
Onderdeel van een breder onderzoeksprogramma
Dit rapport is een van de verschillende onderzoeksprojecten die bij EfficientEther lopen. We publiceren dit soort werk in de geest van teruggeven aan de community en om klanten te helpen weloverwogen, evidence-based keuzes te maken over hoe hun toepassingen worden verpakt en geleverd. Er volgen meer studies.
De packaging en validatie in het onderzoek zijn uitgevoerd met EtherApps Forge, dat de werkelijke applicatie-footprint vastlegt en de meest geschikte route aanbeveelt tussen MSIX, MSI, IntuneWin, App Attach en portable formaten, waarbij PSF-fixups alleen worden toegepast waar het bewijs aantoont dat ze echt nodig zijn.
Ontdek MSIX-packaging en -implementatie of bekijk agentische applicatiepackaging om te zien hoe een gecontroleerde, evidence-based packagingoperatie tot stand komt.