应用在windows和mac上安全运行涉及到的相关知识我们现在将前面讨论过的所有关于macOS和Windows应用安全与

我们现在将前面讨论过的所有关于macOS和Windows应用安全与隐私的知识点进行一次全面的汇总，并通过一个清晰的表格和要点解析，对它们进行一一对比。

核心设计哲学

macOS: 趋向于一个设计统一、层层递进的**“封闭花园”模型。它的安全策略是默认拒绝、显式授权**，强制性强，为所有应用（尤其是通过App Store分发的）提供了高度一致的安全基线。
Windows: 提供了一套更灵活、模块化的**“纵深防御”工具集。它的策略更侧重于基于信誉的风险评估和可配置的策略管理**，为开发者和系统管理员提供了更大的控制力以适应多样化的应用生态。

综合对比总表

安全层面	macOS 组件	Windows 组件	核心机制与哲学对比
1. 准入控制 (运行前检查)	Gatekeeper (门神)	Microsoft Defender SmartScreen	身份验证 vs. 信誉评估 • Gatekeeper: 严格的身份检查。应用必须来自App Store或经苹果公证（Notarization），验证的是开发者的“合法身份”。 • SmartScreen: 动态的信誉评估。基于云端数据，评估应用的“社会信誉”（发布者历史、下载量、已知报告等）。
2. 运行时防护 (A) 应用隔离	App Sandbox (应用沙箱)	AppContainer / 强制完整性控制(MIC)	默认拒绝 vs. 分级限制 • App Sandbox: “白名单”模式。默认禁止一切对外部资源的访问，开发者必须逐项**声明权限（Entitlements）才能获得访问资格。 • AppContainer/MIC: “安全等级”模式。为进程分配不同安全级别（如Low, Medium），低级别进程无法影响高级别进程或资源。
2. 运行时防护 (B) 漏洞利用缓解**	Hardened Runtime (强化运行时)	Windows Defender Exploit Guard	强制捆绑包 vs. 灵活工具集 • Hardened Runtime: 安全功能的“捆绑包”，默认开启。提供库验证、禁止内存执行等一系列保护，是应用公证的前提。 • Exploit Guard: 安全工具的“集合”，提供一系列可独立配置的缓解技术（如CFG, DEP, ASLR），灵活性高。
3. 隐私访问控制 (运行时请求)	TCC (Transparency, Consent, and Control)	Windows 应用权限 (App Permissions)	强制中断 vs. 集中管理 • TCC: “即时决策”模型。当应用访问敏感数据时，强制弹出模态对话框，中断用户操作，要求明确授权。 • 应用权限: “通知与设置”模型。通过首次使用的提示和设置应用中的中央面板来管理权限，用户体验更灵活。

各安全层面详细对比解析

1. 准入控制：Gatekeeper vs. SmartScreen

macOS Gatekeeper 像一个国家的海关，它只关心你的“护照”（开发者签名）和“签证”（苹果公证）是否齐全有效。只要手续完备，就予以放行。它不关心你是个名人还是个普通人。
Windows SmartScreen 则像一个社会的信用体系。它不仅看你的“身份证”（代码签名），更关心你的“信用记录”（应用历史和下载量）。一个刚出道、没人认识的应用，即便证件齐全，也可能因为“信誉不足”而被提醒注意。购买EV证书相当于获得一份权威的“信用背书”，可以快速提升信誉。

2. 运行时防护 (A) - 应用隔离：App Sandbox vs. AppContainer

macOS App Sandbox 把每个应用关进一个带软垫的**“独立牢房”**。牢房里什么都没有，应用如果需要食物（文件访问）、水（网络连接），都必须提前向监狱长（系统）提交一份详细的申请清单（Entitlements）。
Windows AppContainer 则更像一个将囚犯分为不同安全等级的监狱。普通囚犯（Low级别进程）可以在公共区域活动，但无法进入守卫室（Medium/High级别资源）。这种分级隔离有效防止了低权限应用对系统关键部分的破坏。

3. 运行时防护 (B) - 漏洞利用缓解：Hardened Runtime vs. Exploit Guard

macOS Hardened Runtime 是给每个出牢房活动的囚犯穿上的一套制式“防爆盔甲” 。这套盔甲默认就焊死了，可以防止被偷袭（代码注入）、被抢夺武器（库劫持）等。如果囚犯需要解开盔甲的某个部分进行特殊活动（如使用插件），必须再次向监狱长申请一个特殊的许可。
Windows Exploit Guard 则是一个武器与装备库。管理员可以根据每个囚犯的危险程度，为他选择性地配备不同的装备，比如“防劫持护盾”（CFG）、“防注入背心”（DEP）等。这种方式更为灵活，可以为老旧的程序（囚犯）也加装上一些现代化的防护装备。

4. 隐私访问控制：TCC vs. Windows 应用权限

macOS TCC 是一个极其警惕的贴身保镖。当应用（访客）想要从业主（用户）那里拿走私人物品（如通讯录、照片）时，保镖会立刻拦在中间，大声向业主确认：“这个人要拿你的相册，你同意吗？”。业主必须明确回答“同意”或“不同意”，否则访客什么也拿不走。
Windows 应用权限 更像一位管家。他会记录下每个访客（应用）需要访问哪些房间（隐私数据）的请求清单（Manifest）。首次访问时，他可能会提醒一下业主。业主也可以随时去管家的办公室（设置面板），查看并修改所有访客的房间访问权限列表。

最终总结

这两套体系都是现代操作系统的安全典范，但走向了不同的演化路径：

macOS 构建了一个环环相扣、高度整合的防御链条。从Gatekeeper到Hardened Runtime，再到Sandbox和TCC，每一层都为下一层设定了前提和基础，形成了一个逻辑清晰、强制性强的安全闭环。
Windows 则构建了一个适应性强、覆盖面广的防御网络。它通过SmartScreen应对开放的互联网生态，通过Exploit Guard等工具保护庞大的存量软件，通过AppContainer和应用权限为现代应用提供强大的沙箱和隐私保护，体现了其在多样性和灵活性上的优势。

接下来说说证书签名，公证，装订等，在这些方面的作用以及怎么样可以做上面事

我们接着之前对安全框架的讨论，深入到开发者实践层面，详细解析**代码签名（Code Signing）、公证（Notarization）和装订（Stapling）**这三个关键步骤。这三者是您作为开发者，为了让您的应用顺利通过我们前面讨论的Gatekeeper和SmartScreen等“安检口”，必须完成的核心工作。

核心概念与作用

可以把这三个步骤想象成准备一份官方文件的流程：

代码签名 (Code Signing) ：如同在文件上盖上您的官方印章或亲笔签名。它向操作系统证明：
- 身份（Authenticity） ：这份文件确由您（或您的公司）出具。
- 完整性（Integrity） ：这份文件自您盖章后，内容未被任何一个字节的篡改。
公证 (Notarization) ：如同将盖好章的文件，递交给一个权威的第三方机构（如公证处）进行审核和备案。这个机构（苹果公司）会用自动化工具扫描文件，检查其中有无已知的危险内容。这为文件的安全性提供了额外的背书。 （此步骤主要为macOS特有）
装订 (Stapling) ：如同将公证处返回的**“审核通过”回执单，用订书机钉在您的原始文件上**。这样，任何人收到文件时，无需再去联系公证处查询，直接看回执单就能确认其已被审核。这大大提高了验证效率，尤其是在离线状态下。 （此步骤主要为macOS特有）

一、代码签名 (Code Signing)

这是所有平台都必须进行的基础步骤。

在macOS上

作用：为了通过Gatekeeper的身份检查。没有签名的应用在现代macOS上几乎无法运行。
如何做：
1. 加入苹果开发者计划 (Apple Developer Program) ：您需要每年支付费用（目前为$99美元）成为苹果的注册开发者。这是获取官方认可“印章”的前提。
2. 获取签名证书：加入后，您可以从苹果开发者后台生成“Developer ID”类型的证书。这个证书专门用于在Mac App Store之外分发应用。它与您的开发者账户绑定，是您在macOS生态中的唯一身份标识。
3. 进行签名：
  - 使用Xcode：如果您使用Xcode作为开发工具，它可以在构建（Archive）过程中自动使用您账户中的证书对应用进行签名。
  - 使用命令行工具：对于Electron等跨平台应用，通常使用命令行工具codesign。构建工具（如electron-builder）已经集成了这个步骤。您只需在配置中指定证书的名称或哈希值即可。
    
    Bash
```
# 手动签名的示例
codesign --force --sign "Developer ID Application: Your Name (TEAM_ID)" --options runtime "YourApp.app"
```

在Windows上

作用：为了通过SmartScreen的信誉检查，并向用户展示可信的发布者信息，减少或避免安全警告。
如何做：
1. 从证书颁发机构(CA)购买证书：您需要向DigiCert, Sectigo等商业CA购买一个代码签名证书。与苹果不同，这个“印章”由全球公认的商业机构颁发。
  - OV证书（组织验证） ：价格相对较低，需要验证您的组织身份。使用OV证书签名的应用需要时间积累信誉。
  - EV证书（扩展验证） ：价格昂贵，验证流程极其严格，私钥必须存储在硬件令牌（USB Key）中。但其签名的应用能立即获得SmartScreen的最高信任。
2. 获取证书文件：购买后，您通常会得到一个.pfx或.p12格式的证书文件，其中包含了您的公钥和私钥，并由密码保护。
3. 进行签名：
  - 使用SignTool.exe：这是微软官方的签名工具，包含在Windows SDK中。
  - 集成到构建工具：最常见的方式是使用electron-builder等工具。您只需在配置中提供证书文件路径和密码，构建工具会在打包时自动调用SignTool完成签名。
    
    JSON
```
// electron-builder在package.json中的配置示例
"win": {
  "certificateFile": "./private/my_cert.pfx",
  "certificatePassword": "your_secure_password",
  "publisherName": "My Awesome Company"
}
```

二、公证 (Notarization) - macOS专属

这是让您的应用被Gatekeeper完全信任的关键一步。

作用：向苹果证明您的应用已经过恶意软件扫描，是安全的。这是在macOS Catalina (10.15) 及之后版本上，让非App Store应用顺畅运行的强制性要求。
如何做：
1. 启用强化运行时 (Hardened Runtime) ：在签名前，必须为您的应用启用此安全特性。这相当于承诺您的应用遵循了一系列严格的安全最佳实践。
2. 打包应用：将您已签名并启用强化运行时的应用打包成.zip或.dmg文件。
3. 上传至苹果公证服务：使用苹果提供的命令行工具notarytool进行上传。您需要使用“应用专用密码”进行身份验证，该密码可在Apple ID管理页面生成。
  
  Bash
```
# 示例：上传应用以供公证
xcrun notarytool submit "YourApp.zip" --keychain-profile "YOUR_PROFILE_NAME" --wait
```
  --wait参数会让工具一直等待，直到公证完成并返回结果。
4. 检查结果：如果公证成功，苹果会返回一个“票据（Ticket）”，证明您的应用已通过检查。如果失败，会提供日志供您排查问题。

三、装订 (Stapling) - macOS专属

这是公证流程的最后一步，也是提升用户体验的一步。

作用：将苹果公证服务返回的“票据”附加到您的应用包上。这样，当用户首次运行您的应用时，Gatekeeper可以直接在本地验证这个票据，而无需实时联网查询苹果服务器。这可以加速首次启动，并确保用户在离线状态下也能成功验证并运行您的应用。
如何做：
1. 在公证成功后进行：确保您的应用已经成功通过了公证。
2. 使用stapler工具：macOS自带了一个名为stapler的命令行工具来完成此工作。
  
  Bash
```
# 示例：将公证票据装订到应用上
xcrun stapler staple "YourApp.app"
```
3. 验证装订：您可以再次使用stapler工具来验证票据是否已成功装订。
  
  Bash
```
xcrun stapler validate "YourApp.app"
```
注意：现代的notarytool在上传时，如果公证成功，通常会自动处理票据的获取。而electron-builder等高级构建工具，在其工作流中也可能集成了装订步骤。

总结：分发流程路线图

macOS (非App Store分发)

构建 -> 代码签名 (使用Developer ID证书) -> 启用强化运行时 -> 公证 (上传至苹果服务) -> 装订 (将公证票据附加到应用) -> 打包成分发文件 (.dmg) -> 分发给用户

Windows

构建 -> 代码签名 (使用OV/EV证书，并自动附加时间戳*) -> 打包成分发文件 (.exe安装包) -> 分发给用户

*Windows的时间戳服务：在Windows签名过程中，签名工具会联系一个时间戳服务器，为签名附加一个时间戳。这类似于“装订”的概念，因为它证明了签名是在证书有效期内发生的，即使证书后来过期了，签名依然有效。这个过程通常由签名工具自动完成，开发者只需在命令中提供时间戳服务器的URL即可（electron-builder等工具已默认配置好）。

接着说下关于liunx这方面相关的问题，以及什么做了什么

显示思路

好的，我们来完成这幅拼图的最后一块，探讨Linux平台在应用安全和分发方面的相关问题。

与由单一公司控制的macOS和Windows不同，Linux是一个开放、去中心化的世界。这导致其安全哲学和实践与前两者有着根本性的差异。

核心差异：去中心化的世界与信任的来源

在macOS和Windows上，信任的“根”非常明确：苹果公司和微软公司。它们制定规则、提供服务（如公证、SmartScreen）、掌控着核心安全机制。

而在Linux世界，没有一个“Linux公司”。权力分散在各个**发行版（Distributions）**的社区或公司手中，如Ubuntu (Canonical)、Fedora (Red Hat/IBM)、Arch Linux（社区）等。因此，Linux安全的基石是：

信任链的分散：用户选择信任其所使用的发行版。您信任Ubuntu，是因为您信任Canonical公司的安全团队和社区维护者。
软件源（Repository）作为信任核心：最安全、最受信任的应用，是那些被收录在发行版官方软件源中的应用。这些应用都经过了发行版维护者的审查、编译和打包。

基于此，我们再来审视“代码签名、公证、装订”这些概念在Linux上的对应物。

代码签名、公证和装订在Linux上的情况

代码签名 (Code Signing) ：存在，但形式不同。
- 传统方式：Linux不侧重于对应用二进制文件本身进行开发者签名。它更侧重于对**软件包（Package）和软件源（Repository）**进行签名。通常使用GPG（GNU Privacy Guard）密钥。
- 工作流程：
  1. 发行版的维护者用自己的GPG私钥对软件源的元数据（包列表）进行签名。
  2. 当您运行sudo apt update时，您的系统会使用预存的发行版公钥来验证这个签名的真实性，确保您连接到的是官方服务器，列表未被篡改。
  3. 下载的.deb或.rpm软件包本身也可能被签名，包管理器（apt, dnf）在安装前会进行验证。
- 结论：这里的签名是为了保证软件来源渠道的可靠性，而非验证单个应用开发者的身份。
公证 (Notarization) & 装订 (Stapling) ：不存在。
- 原因：因为没有一个像苹果那样的中央权威机构来提供此项服务。
- 事实上的“公证” ：发行版的**审查流程（Review Process）**扮演了事实上的“公证”角色。一个软件能被收录进Debian或Fedora的官方源，本身就是对其安全性、稳定性和代码质量的强力背书。社区和专门的维护者已经替用户完成了“审核”工作。

Linux的传统之道：包管理器与软件源

这是Linux系统几十年来分发和管理软件的核心模式。

组件：
- 包管理器 (Package Manager) ：如apt (Debian/Ubuntu), dnf (Fedora), pacman (Arch)。是用户与软件源交互的工具。
- 软件源 (Repository/Source) ：存放软件包的服务器。发行版通常会分为多个源，如main（完全开源且官方支持）、universe（社区维护）等。
- 维护者 (Maintainers) ：负责任的志愿者或公司员工，他们获取软件源码，根据发行版的规范进行编译、打包、测试并提交到软件源。
安全模型：这套体系的安全性基于严格的来源控制。只要您坚持从官方源安装软件，风险就极低。当您需要添加第三方软件源（PPA）或直接下载.deb/.rpm包进行安装时，系统会明确警告您正在引入一个外部、可能不受信任的来源。

现代Linux的变革：沙箱化应用格式 (Flatpak & Snap)

传统模式虽然安全，但存在更新慢、跨发行版兼容性差、依赖关系复杂等问题。为了解决这些痛点，Flatpak和Snap应运而生，它们引入了类似macOS和Windows的现代应用分发和安全理念。

它们的核心是沙箱（Sandbox）和权限控制。

Flatpak

沙箱技术：使用Bubblewrap等技术，将应用及其依赖项与主系统隔离。应用在一个受限的环境中运行，默认无法访问用户文件、硬件或网络。
门户 (Portals) ：这是Flatpak的精髓，也是与macOS的TCC和Windows应用权限最直接的对应物。当一个沙箱化的应用需要访问用户文件（如打开一个文档）、使用摄像头或发送通知时，它不能直接调用系统API，而必须通过一个标准化的“门户”向桌面环境发出请求。桌面环境会弹出统一的授权对话框，由用户决定是否批准。
Flathub：是一个第三方的、事实上的Flatpak应用“应用商店”。开发者可以将应用提交到Flathub，它有自己的审查流程和签名机制，为跨发行版分发提供了一个中心化的平台。

Snap

沙箱技术：由Canonical（Ubuntu的母公司）主导，使用AppArmor或SELinux等内核模块来强制执行安全策略。
接口 (Interfaces) ：类似于Flatpak的门户，Snap应用通过连接“插头（plugs）”到系统的“插槽（slots）”来请求权限。例如，连接到camera接口以使用摄像头。这些连接有些可以自动授予，有些则需要用户手动授权。
Snap Store：由Canonical运营的官方应用商店，审查和分发由其集中控制。

最终汇总对比：三大平台安全机制

这张终极对比表将Linux的两种模式与macOS、Windows并列。

安全层面	macOS	Windows	Linux 传统方式 (如APT, DNF)	Linux 现代方式 (Flatpak, Snap)
1. 准入控制 (运行前)	Gatekeeper (身份/公证检查)	SmartScreen (信誉检查)	包管理器 + GPG签名 (检查软件源和包的签名)	应用中心 (Flathub, Snap Store) (检查应用是否来自受信任的中心源)
2. 应用隔离 (运行时)	App Sandbox (默认拒绝，需Entitlements授权)	AppContainer / MIC (基于安全级别限制)	无内置沙箱 (依赖传统的用户/组权限)	内置强制沙箱 (如Bubblewrap, AppArmor)
3. 漏洞利用缓解 (运行时)	Hardened Runtime (强制安全功能捆绑包)	Exploit Guard (可配置的安全工具集)	发行版编译标志 (维护者在编译时开启如ASLR, DEP等)	沙箱自身限制 + 发行版编译标志
4. 隐私访问控制 (运行时)	TCC (强制性模态弹窗)	应用权限 (设置中集中管理)	无特定机制 (由文件系统权限控制)	门户 (Portals) / 接口 (Interfaces) (标准化的授权弹窗)

导出到 Google 表格

总结：

传统Linux将安全责任高度集中于发行版维护者，形成了一个强大但更新较慢的信任链。
现代Linux (Flatpak/Snap) 则通过引入沙箱和门户/接口，将部分安全责任和控制权下放给了最终用户，实现了与macOS和Windows非常相似的应用级隔离和隐私控制，极大地提升了桌面Linux的现代化应用安全水平。

那对于中国国产化的系统，这方面有什么相关的，比如麒麟系统，统信系统

显示思路

好的，这是一个非常自然且重要的问题。我们将前面建立的分析框架，应用到中国的国产化操作系统上，重点以**麒麟（Kylin）和统信（UOS）**为例进行探讨。

总的来说，这些国产操作系统的安全体系可以理解为：以开源Linux为基石，结合中国国家信息安全标准（国标），构建的一套拥有自主信任根和生态控制权的“上层建筑” 。

它们既继承了Linux的许多安全特性，又根据“自主可控”的战略需求，发展出了类似苹果和微软的集中式管理模式。

探究基石：与Linux的血缘关系

首先必须明确，无论是麒麟（特指银河麒麟/麒麟软件）还是统信UOS，其技术底座都是Linux发行版，其中很大一部分是基于Debian开发的。

这意味着，我们之前讨论的**“Linux传统方式”**中的所有安全特性，它们都天然继承了，包括：

用户/组/其他权限体系：基于用户的身份进行文件访问控制。
root/sudo超级用户权限分离：普通用户权限受限，执行关键操作需要明确提权。
底层内核安全机制：如SELinux或AppArmor（取决于其上游基础）提供的强制访问控制（MAC）能力。

但与Debian、Ubuntu这些国际开源社区不同，国产操作系统的目标不是通用的自由开放，而是为政府、金融、能源、国防等关键领域提供一个安全、稳定且可控的平台。因此，它们在Linux基石之上，建立了一套自己的生态系统。

上层建筑：自主可控的安全生态

现在，我们用之前的安全层面来剖析麒麟和统信系统的具体做法。

1. 准入控制：自主的应用商店与审核机制

这部分最能体现其与通用Linux发行版的不同，它更接近苹果的模式。

核心组件：统信应用商店、麒麟软件商店。
作用与机制：
- 信任的锚点：这些“应用商店”是系统中最核心、最受信任的软件来源，其地位相当于macOS的App Store或Ubuntu的官方软件源。
- 严格的审核与适配：开发者不能随意将软件发布上去。所有第三方商业软件（如WPS、微信、QQ）都必须经过麒麟或统信官方团队的审核、测试、适配和重新打包。这个过程就是事实上的**“公证”**。
- 统一签名：经过审核和打包的应用，很可能会被麒麟或统信用自己的官方密钥进行重新签名。这意味着，应用商店里所有应用的信任背书，最终都指向了操作系统厂商本身，而不是成千上万的独立开发者。这建立了一个以厂商为中心的信任闭环。
对比小结：它们扮演了Gatekeeper + Notarization + App Store审核的多重角色。信任的根从“全球开发者社区”转移到了“国产操作系统厂商”这里。

2. 代码签名：生态系统内的身份认证

作用与机制：
- 生态内签名：在一个封闭或半封闭的生态里，由国际CA颁发的代码签名证书意义不大。系统的信任体系被设计为优先信任其内生的签名。
- 开发者认证：希望将其软件上架的开发者或企业，需要先通过麒麟或统信的开发者平台认证。这个认证过程本身就构成了第一层身份验证。
- 商店强制签名：如上所述，最终分发的应用包，其签名有效性由应用商店和操作系统本身来保证，而不是依赖外部CA链。

3. 沙箱与访问控制：为安全量身定制

作用与机制：
- 继承与发展：它们在继承Linux内核访问控制能力的基础上，会构建自己的安全框架，以满足国家等级保护等标准的要求。例如，它们会提供标记了自主品牌名称的强制访问控制模块，并提供图形化的管理工具。
- 应用级沙箱探索：为了管理日益复杂的第三方应用，这些系统同样在探索应用沙箱技术。它们可能不会直接采用社区的Flatpak或Snap，而是会开发自有的应用打包和运行格式。这种格式能更好地与它们的系统服务和安全策略集成，实现对应用行为的精细化管控。

4. 隐私访问控制：类似TCC的权限管理

作用与机制：
- 现代OS的标配：当一个从应用商店安装的应用（例如“麒麟版微信”）尝试使用摄像头、麦克风或读取您的位置时，系统层面会拦截这个请求。
- 弹出授权对话框：与在手机、macOS或Windows上一样，系统会弹出一个对话框，明确告知用户“某应用正在请求某权限”，并要求用户选择“允许”或“禁止”。
- 集中管理面板：系统设置中同样会提供一个类似“隐私”或“权限管理”的面板，让用户可以查看和管理所有应用的权限授予情况。
对比小结：这部分的功能和用户体验与主流操作系统非常相似，因为它是现代应用生态保障用户隐私权的必需品。

总结与对比表

安全层面	通用Linux方式 (如Debian)	国产操作系统 (麒麟/统信)	核心机制与特点
1. 准入控制 (运行前)	包管理器 + 社区源 (信任开源社区和维护者)	官方应用商店 (信任操作系统厂商)	信任锚点内移：从信任国际开源社区转变为信任国内的操作系统厂商和国家安全标准。商店扮演了审核、测试、公证、分发的全套角色。
2. 应用隔离 (运行时)	用户/组权限 (可选配SELinux/AppArmor)	自主安全框架 + 应用级沙箱	强化与定制：在Linux基础上，根据国家安全等级保护要求，构建自主品牌的强制访问控制框架。并为商店应用提供定制化的沙箱环境。
3. 隐私访问控制 (运行时)	无标准化机制 (依赖文件权限)	内置权限管理框架	对齐现代标准：实现了类似TCC/应用权限的机制，当应用访问摄像头、麦克风等敏感资源时，会主动向用户请求授权，并提供集中管理入口。

核心结论：国产操作系统在安全模型上的最大特点，就是**“建立自主信任体系”**。它们通过构建自有的应用商店、审核流程和签名机制，成功地将应用生态的“信任根”从外部的、国际化的实体（如开源社区、全球CA）转移到了内部的、可控的实体（操作系统厂商自身），从而实现了“自主可控”的核心战略目标。对于最终用户而言，只要坚持从官方应用商店下载软件，其安全体验与使用苹果或主流安卓手机类似，都是在一个受控的“围墙花园”内。