Комбобулатор на зависимости е инструментариум с отворен код за борба с атаките на объркване/заместване на зависимости. Тоест тези атаки, които се възползват от публично или частно хранилище на софтуерни проекти, за да объркат мениджъра на пакети и да промъкнат пакети, които биха били предполагаеми зависимости, но са насочени към извършване на някакъв вид атака.
Apiiro стартира Dependency Combobulator именно за да може да се бори с това. Инструментариум, способен на откриване и предотвратяване на тези атаки. Тези атаки бяха открити едва наскоро и днес се разраснаха като вектор на атака. С други думи, с този комплект ще можете да избегнете този тип измама за зависимост, която в крайна сметка се оказва злонамерени пакети (вместо да инсталирате правилната зависимост, която трябва да бъде инсталирана за софтуера, който мениджърът на пакети инсталира).
В тези случаи потребителите не са наясно, те се доверяват на мениджъра на пакети, който е този, който автоматизира работата зависимости. Те обаче биха разрешили злонамерен код, без да го знаят. Това е мястото, където Dependency Combobulator става интересен, за да оцени различни източници като GitHub, JFrog Artifactory и т.н.
Този инструмент е разработен на езика за програмиране Python и използва a евристичен двигател който работи върху модел на абстрактен пакет, осигуряващ лесна разширяемост. В допълнение към гъвкавостта, това може да накара специалистите по сигурността да вземат по-добри решения. Може лесно да се интегрира и се стартира автоматично.
"След решението на изследователя по сигурността Алекс Бирсан да компрометира екосистемите, поддържани от Apple, Microsoft и PayPal по-рано тази година, индустрията преживя избухване на гърчове подобно на веригата за доставки“, каза Моше Циони, вицепрезидент по изследванията в областта на сигурността на Apiiro. "Бяхме нетърпеливи да отговорим, като създадем набор от инструменти, които могат да смекчат подобни заплахи и да бъдат достатъчно гъвкави и разширяеми, за да се борим с бъдещи вълни от атаки на объркване на зависимости. Справянето с този вектор на атака е от съществено значение за организациите, за да защитят успешно своите вериги за доставка на софтуер. ".