开源安全基金会采用微软以消费为中心的供应链安全框架。2022年11月16日，开源安全基金会宣布采用安全供应链消费框架，这是微软构建的以消费为中心的开源管理框架，在微软自己使用2年后的今年8月份开放。该框架基于威胁的风险降低方法来缓解现实世界的威胁，主要优势之一是它可以与任何以生产者为重点的框架（如SLSA，软件构件的供应链级别）形成很好的衔接。该框架将关注重点划分为八个实践领域并提出相应要求，并对每项要求划分为四个成熟度等级，同时提供了评估指南，帮助组织满足框架要求。

（来源：Microsoft，securityweek）

【天枢点评】：供应链安全是当前继勒索软件攻击之后最炙手可热的话题之一，目前主要从最佳实践方面着手应对，微软、谷歌、MITRE等在该领域走在前列。从结构上看，微软的这个框架一方面兼顾了与其他框架的衔接，降低了使用者的开发和应用成本，另一方面，提供了自评估指南，使用者能够在采用框架时自行确认风险水平并完善迭代。这是微软提出和使用的管理框架，相信会对微软系的生态产生积极影响。

NASA发现航天器、工业控制系统网络中的安全漏洞。2022年11月15日，美国宇航局和密歇根大学的研究人员曝光了广泛用于航天器等关键基础设施的高危漏洞，可影响网络时间触发以太网（TTE），当被利用攻击时，会造成TTE设备失去时间同步。在NASA的模拟实验中，攻击使乘员舱偏离了既定航线。

（来源：engadet，umich）

【天枢点评】：时间触发以太网是航空航天、发电厂和工业控制系统中广泛采用的网络协议，此次曝光的漏洞虽然需要物理接触相关设备，不能远程利用，但如果融合如社工程手段，其利用风险仍处于较高水平。另一个角度看，利用该协议的场景基本都属于关键基础设施，其本身就是当前高级威胁关注的重点，一旦攻击达成，其后果具有严重危害性。

* 如需了解《数字安全观察》完整版信息，请联系[email protected]，关注360天枢智库