Combobulator التبعية هو مجموعة أدوات مفتوحة المصدر لمكافحة هجمات الارتباك / التبعية. أي تلك الهجمات التي تستغل مستودعًا عامًا أو خاصًا لمشروعات البرامج لإرباك مدير الحزم وحزم التسلل التي قد تكون تبعيات مفترضة ولكنها تهدف إلى تنفيذ نوع من الهجوم.
أطلق Apiiro برنامج Dependency Combobulator ليكون قادرًا على محاربة هذا الأمر. مجموعة أدوات قادرة على كشف ومنع هذه الهجمات. لم يتم اكتشاف هذه الهجمات إلا مؤخرًا ، ونمت اليوم باعتبارها وسيلة هجومية. بمعنى آخر ، باستخدام هذه المجموعة ، ستتمكن من تجنب هذا النوع من خداع التبعية الذي ينتهي به الأمر إلى أن يكون حزمًا ضارة (بدلاً من تثبيت التبعية الصحيحة التي يجب تثبيتها للبرنامج الذي يقوم مدير الحزم بتثبيته).
في هذه الحالات ، لا يدرك المستخدمون ، فهم يثقون في مدير الحزم الذي يقوم بأتمتة عمل التبعيات. ومع ذلك ، فإنهم سيفوضون بتعليمات برمجية ضارة دون علمهم. هذا هو المكان الذي يصبح فيه Dependency Combobulator مثيرًا للاهتمام ، لتقييم مصادر مختلفة مثل GitHub و JFrog Artifactory ، إلخ.
تم تطوير هذه الأداة بلغة برمجة Python ، وتستخدم ملف محرك إرشادي الذي يعمل على نموذج حزمة مجردة ، مما يوفر سهولة التوسعة. بالإضافة إلى المرونة ، يمكن أن يقود المتخصصين في مجال الأمن إلى اتخاذ قرارات أفضل. يمكن دمجها بسهولة ، ويتم تشغيلها تلقائيًا.
"في أعقاب قرار الباحث الأمني أليكس بيرسان بتعريض الأنظمة البيئية التي تحتفظ بها Apple و Microsoft و PayPal في وقت سابق من هذا العام ، اختبرت الصناعة اندلاع النوبات على غرار سلسلة التوريدقال موشيه تسيوني ، نائب رئيس ابيرو للبحوث الأمنية. "كنا حريصين على الاستجابة من خلال إنشاء مجموعة من الأدوات التي يمكن أن تخفف من التهديدات المماثلة وتكون مرنة وقابلة للتوسيع بما يكفي لمكافحة الموجات المستقبلية من هجمات ارتباك التبعية. تعتبر معالجة متجه الهجوم هذا أمرًا ضروريًا للمؤسسات لتأمين سلاسل توريد البرامج الخاصة بهم بنجاح. ".