近日,微软悄然调整了其“主动防护计划”(MAPP, Microsoft Active Protections Program),明确限制中国安全厂商访问漏洞预警及概念验证代码(PoC)的权限。此次调整后,参与微软漏洞共享计划的企业若所在国政策要求必须向政府上报漏洞,其所能获取的信息将受到严格限制。微软将不再向这些企业提供用于演示漏洞细节的概念验证代码。中国成员企业今后仅可在补丁发布当日获取概括性文档,无法再提前获得技术细节与攻击演示代码。这一变化显著削弱了中国企业在全球漏洞响应中的“先发优势”,迫使国内防护体系从“同步防御”退回到“滞后补救”。
该类限制将导致的直接影响包括:中国安全厂商漏洞分析效率下降,防护滞后性增强;政企用户面临更长的安全空窗期,防御压力向上传导;迫使中国加速构建不依赖外部的漏洞生态与情报体系。
更值得警惕的是,微软首次承认其设于中国的“透明中心”已自 2019 年起实质关闭。该中心曾被视为跨国科技信任的象征,允许中方查验 Windows 源代码以排除后门。其关闭不仅是一个技术合作的终止,更标志着中美在网络安全基础机制层面的“信任脱钩”。
正是在这一严峻背景下,统信 UAPP(UOS Active Protections Program)的战略价值与实战进展尤为关键。UAPP是在工业和信息化部网络安全产业发展中心的指导下,统信软件与工业和信息化部网络安全技术与产业发展重点实验室,联合中国最优秀的网络安全厂商打造具备世界顶级安全水平的操作系统。计划由“安全应用持续兼容”、“安全响应”及“计算机病毒信息共享”三个子计划组成,通过汇聚各方安全力量,共建信息技术应用创新基础软件平台安全底座。
自 2022 年成立以来,UAPP 已形成国内最大的操作系统安全生态圈,三大核心计划已取得实质性突破:
安全应用持续兼容计划
已接入 210 余家安全厂商,覆盖安全 TOP 榜单中 85% 的头部企业,40 余家厂商基于统信 USPI 标准接口完成深度兼容开发,实现从“单点适配”到“生态互通”。
安全响应计划(USRP)
推出专项漏洞激励政策,吸引包括绿盟、赛博昆仑、山石网科、安恒信息等一批顶尖团队深入参与信创系统漏洞挖掘。截至目前,漏洞修复数量已突破 30000 个,覆盖内核、应用、基础软件等多层次威胁,显著提升统信 UOS 的抗攻击能力。
计算机病毒信息共享计划
接收来自北信源、亚信、安天、深信服等机构提交的病毒样本超过 260 万个,并建立样本自动化分析、情报实时同步机制,大幅提升国内勒索软件、木马、漏洞利用攻击等的联防能力。
UAPP 从根本上推动中国安全体系从“被动响应”迈入“主动防御+智能预测”,其意义不仅在于技术替代,更在于机制创新,以开放协同的模式打破企业与国家壁垒。
基于此,UAPP 将重点着手以下工作:
- 推动网络安全企业构建更加完善的自主可控生态体系,积极为操作系统等基础软件厂商匹配漏洞检测规则、建立漏洞信息共享通道,并协助提升对未知威胁的感知与响应能力,从而系统增强底层基础设施的安全防御水平。
- 统信软件将联合网络安全企业,共同打造涵盖漏洞挖掘、分析、修复与补丁管理全流程的自主安全供应链,致力于构建不依赖外部、具备内生韧性的安全能力,这是中国在网络空间安全战略中实现自主可控的必经之路,也是当前国家与产业正在积极推进的核心方向。
- 统信软件呼吁国内安全厂商踊跃加入 UAPP 计划,打破传统孤立运作模式,共建跨企业、跨领域的“联动防御”生态。通过协同机制实现能力互补、信息共享与联合响应,不断提升我国整体网络安全防护水位。
微软的规则收缩,既是一次压力测试,也是一次产业觉醒。它揭示出依赖外部漏洞共享机制的战略脆弱性,也迫使中国网络安全走向更彻底的自主与开放。UAPP 的应对之策不是被动防御,而是主动进化。未来,UAPP 将深化国际合作,开辟新渠道:积极与全球其他独立的漏洞研究组织、顶尖的安全厂商、国际标准化组织建立双边合作,打破单一依赖,构建一个“去中心化、多节点”的国际协作式安全共同体。
详细了解 UAPP 或申请加入请访问:https://ecology.chinauos.com/adaptidentification/uapp/
统信软件
统信UOS