Dependency Combobulator er en open source værktøjskasse for at bekæmpe forvirring/afhængighedssubstitutionsangreb. Det vil sige, de angreb, der udnytter et offentligt eller privat lager af softwareprojekter til at forvirre pakkehåndteringen og snige pakker, der ville være formodede afhængigheder, men som er rettet mod at udføre en eller anden form for angreb.
Apiiro lancerede Dependency Combobulator netop for at kunne bekæmpe dette. Et værktøjssæt, der kan opdage og forhindre disse angreb. Disse angreb er først for nylig blevet opdaget og er vokset som en angrebsvektor i dag. Med andre ord, med dette sæt vil du være i stand til at undgå denne type afhængighedshoax, der ender med at blive ondsindede pakker (i stedet for at installere den korrekte afhængighed, der skal installeres for den software, som pakkehåndteringen installerer).
I disse tilfælde er brugerne ikke klar over, de stoler på pakkehåndteringen, som er den, der automatiserer arbejdet afhængigheder. Men de ville godkende ondsindet kode uden at vide det. Det er her Dependency Combobulator bliver interessant for at evaluere forskellige kilder som GitHub, JFrog Artifactory osv.
Dette værktøj er udviklet i programmeringssproget Python og bruger en heuristisk motor som fungerer på en abstrakt pakkemodel, hvilket giver nem udvidelse. Ud over fleksibilitet kan det også få sikkerhedsprofessionelle til at træffe bedre beslutninger. Det kan nemt integreres, og det starter automatisk.
"I kølvandet på sikkerhedsforsker Alex Birsans beslutning om at kompromittere økosystemer, der vedligeholdes af Apple, Microsoft og PayPal tidligere i år, oplevede industrien et udbrud af anfald ligner forsyningskæden”Sagde Moshe Zioni, Apiiros vicepræsident for sikkerhedsforskning. "Vi var ivrige efter at reagere ved at skabe en række værktøjer, der kan afbøde lignende trusler og være fleksible og udvidelsesdygtige nok til at bekæmpe fremtidige bølger af afhængighedsforvirringsangreb. At adressere denne angrebsvektor er afgørende for, at organisationer med succes kan sikre deres softwareforsyningskæder. ".