Dependency Combobulator és un conjunt d'eines de codi obert per combatre els atacs de confusió/substitució de dependències. És a dir, aquells atacs que aprofiten un repositori públic o privat de projectes de programari per confondre el gestor de paquets i colar paquets que serien suposades dependències però que van dirigits a fer algun tipus d'atac.
Apiiro va llançar Dependency Combobulator precisament per poder lluitar contra això. Un kit d'eines capaç de detectar i prevenir aquests atacs. Aquests atacs han estat descoberts recentment, i han augmentat com a vector d'atac actualment. És a dir, amb aquest kit podràs evitar aquest tipus d'enganys de dependències que acaben sent paquets maliciosos (en comptes d'instal·lar la dependència correcta que cal instal·lar per al programari que el gestor de paquets està instal·lant).
En aquests casos, els usuaris no són conscients, es refien del gestor de paquets que és el que automatitza el treball de les dependències. Tot i això, estarien autoritzant codi maliciós sense saber-ho. Aquí és on Dependency Combobulator es torna interessant, per avaluar diferents fonts com GitHub, JFrog Artifactory, etc.
Aquesta eina està desenvolupada en llenguatge de programació Python, i utilitza un motor heurístic que funciona en un model de paquet abstracte, cosa que proporciona fàcil extensibilitat. A més de la flexibilitat, també pot portar els professionals de la seguretat a prendre millors decisions. Pot integrar fàcilment, i es llança de forma automàtica.
"Arran de la decisió de l'investigador de seguretat Alex Birsan de comprometre els ecosistemes mantinguts per Apple, Microsoft i PayPal a principis d'aquest any, la indústria va experimentar un brot d'atacs similars a la cadena de subministrament”, va dir Moshe Zioni , vicepresident d'investigació de seguretat d'Apiiro . “Estàvem ansiosos per respondre creant un conjunt d'eines que pot mitigar amenaces similars i ser prou flexible i extensible per combatre les onades futures d'atacs de confusió de dependència. Abordar aquest vector d'atac és essencial perquè les organitzacions assegurin amb èxit les cadenes de subministrament de programari ".