Package Support Framework (PSF) är ett av de viktigaste kompatibilitetsverktygen i MSIX-ekosystemet. Det låter äldre skrivbordsprogram köras inuti MSIX genom att placera ett start- och körtidslager framför programmet, tillämpa fixups och valfritt köra PowerShell-skript före eller efter att programmet körs.
Denna flexibilitet väcker en styrningsfråga som vår FoU ville besvara: hur mycket ytterligare användar- och driftsrisk introducerar PSF, särskilt i App Attach-miljöer i Azure Virtual Desktop? Resultatet är en ny defensiv säkerhetsanalys av Ryan Mangan, CITP FBCS, publicerad öppet under en Creative Commons CC BY 4.0-licens.
Vad rapporten fastställer
PSF är inte i sig osäkert, men bör behandlas som ett betrott kompatibilitetslager med full behörighet (full trust) snarare än som ett rutinmässigt standardval för paketering. Ett kontrollerat positivt test bekräftade att PSF-startskript faktiskt körs vid interaktiv aktivering, medan icke-interaktiv automatisering underrapporterade dem. Den praktiska varningen för leveransteam: en lyckad installation och start är inte bevis för att ett konfigurerat skript faktiskt kördes.
De största riskerna är skriptstyrning, den breda full trust-omfattningen för skrivbordsprogram, fixup-beteende som är svårt att granska efter driftsättning, injektion i leveranskedjan innan ett paket signeras och App Attachs känslighet vid start.
Den rekommenderade hållningen är evidensbaserad användning: föredra först inbyggd MSIX, lägg endast till PSF där körtidsbevis visar att det behövs, signera och inventera varje PSF-binär, behandla skript som hanterad kod, skydda signerings- och paketeringspipelinen och validera App Attach-beteende på produktionslika värdar.
En del av ett bredare forskningsprogram
Den här rapporten är ett av flera forskningsprojekt som pågår på EfficientEther. Vi publicerar arbete som detta i en anda av att ge tillbaka till communityn och för att hjälpa kunder att fatta välgrundade, evidensbaserade beslut om hur deras program paketeras och levereras. Fler studier kommer att följa.
Paketeringen och valideringen i studien utfördes med EtherApps Forge, som fångar programmets verkliga fotavtryck och rekommenderar den mest lämpliga vägen bland MSIX, MSI, IntuneWin, App Attach och portabla format, där PSF-fixups endast tillämpas där bevisen visar att de verkligen behövs.
Utforska MSIX-paketering och -distribution eller läs om agentisk applikationspaketering för att se hur en kontrollerad, evidensbaserad paketeringsverksamhet tar form.