Abhängigkeitskombobulator ein Open-Source-Toolkit zur Bekämpfung von Verwirrungs-/Abhängigkeitssubstitutionsangriffen. Das heißt, Angriffe, die ein öffentliches oder privates Repository von Softwareprojekten ausnutzen, um den Paketmanager zu verwirren und Pakete zu schmuggeln, die angebliche Abhängigkeiten darstellen würden, aber darauf abzielen, eine Art von Angriff auszuführen.
Apiiro hat Dependency Combobulator genau deshalb auf den Markt gebracht, um dies zu bekämpfen. Ein Toolkit, das in der Lage ist, erkennen und verhindern Sie diese Angriffe. Diese Angriffe wurden erst vor kurzem entdeckt und sind heute als Angriffsvektor gewachsen. Mit anderen Worten, mit diesem Kit können Sie diese Art von Abhängigkeits-Hoax vermeiden, bei dem es sich um bösartige Pakete handelt (anstatt die richtige Abhängigkeit zu installieren, die für die Software installiert werden sollte, die der Paketmanager installiert).
In diesen Fällen wissen die Benutzer nicht, dass sie dem Paketmanager vertrauen, der die Arbeit von . automatisiert Abhängigkeiten. Sie würden jedoch bösartigen Code autorisieren, ohne es zu wissen. Hier wird Dependency Combobulator interessant, um verschiedene Quellen wie GitHub, JFrog Artifactory usw.
Dieses Tool wurde in der Programmiersprache Python entwickelt und verwendet a heuristische Engine die auf einem abstrakten Paketmodell arbeitet und eine einfache Erweiterbarkeit bietet. Neben der Flexibilität kann es auch Sicherheitsexperten dazu bringen, bessere Entscheidungen zu treffen. Es lässt sich einfach integrieren und startet automatisch.
"Nach der Entscheidung des Sicherheitsforschers Alex Birsan, die Ökosysteme von Apple, Microsoft und PayPal Anfang des Jahres zu gefährden, erlebte die Branche ein Ausbruch von Anfällen ähnlich der Lieferkette“, sagte Moshe Zioni, Apiiros Vizepräsident für Sicherheitsforschung. "Wir waren bestrebt, darauf zu reagieren, indem wir eine Reihe von Tools entwickelt haben, die ähnliche Bedrohungen abschwächen und flexibel und erweiterbar genug sind, um zukünftige Wellen von Abhängigkeitsverwirrungsangriffen zu bekämpfen. Die Bekämpfung dieses Angriffsvektors ist für Unternehmen unerlässlich, um ihre Softwarelieferketten erfolgreich abzusichern. «.