Závislostní kombobulátor je open source toolkit k boji proti zmatkům/závislosti substituční útoky. Tedy takové útoky, které využívají veřejné nebo soukromé úložiště softwarových projektů, aby zmátly správce balíčků a propašovaly balíčky, které by mohly být předpokládané závislosti, ale jsou zaměřeny na provedení nějakého typu útoku.
Apiiro spustil Dependency Combobulator právě proto, aby s tím mohl bojovat. Sada nástrojů schopná detekovat a předcházet těmto útokům. Tyto útoky byly objeveny teprve nedávno a dnes se staly vektorem útoku. Jinými slovy, s touto sadou se budete moci vyhnout tomuto typu triku se závislostmi, který skončí jako škodlivé balíčky (místo instalace správné závislosti, která by měla být nainstalována pro software, který instaluje správce balíčků).
V těchto případech si uživatelé nejsou vědomi, důvěřují správci balíčků, což je ten, který automatizuje práci závislosti. Autorizovali by však škodlivý kód, aniž by o tom věděli. To je místo, kde je Dependency Combobulator zajímavý, k hodnocení různých zdrojů, jako je GitHub, JFrog Artifactory atd.
Tento nástroj je vyvinut v programovacím jazyce Python a používá a heuristický motor který pracuje na modelu abstraktního balíčku a poskytuje snadnou rozšiřitelnost. Kromě flexibility může také vést bezpečnostní profesionály k lepším rozhodnutím. Lze jej snadno integrovat a spouští se automaticky.
"V důsledku rozhodnutí bezpečnostního výzkumníka Alexe Birsana ohrozit ekosystémy spravované společnostmi Apple, Microsoft a PayPal začátkem tohoto roku, průmysl zažil vypuknutí záchvatů podobně jako dodavatelský řetězec“Řekl Moshe Zioni, viceprezident Apiiro pro bezpečnostní výzkum. "Dychtivě jsme reagovali vytvořením sady nástrojů, které dokážou zmírnit podobné hrozby a jsou dostatečně flexibilní a rozšiřitelné, aby čelily budoucím vlnám útoků zmatků ze závislosti. Řešení tohoto útočného vektoru je pro organizace zásadní pro úspěšné zabezpečení dodavatelských řetězců softwaru. ".