Dependency Combobulator: toolkit open-source contra los ataques

Dependency Combobulator

Dependency Combobulator es un conjunto de herramientas de código abierto para combatir los ataques de confusión/sustitución de dependencias. Es decir, aquellos ataques que aprovechan un repositorio público o privado de proyectos de software para confundir al gestor de paquetes y colar paquetes que serían supuestas dependencias pero que van dirigidos a realizar algún tipo de ataque.

Apiiro lanzó Dependency Combobulator precisamente para poder luchar contra esto. Un kit de herramientas capaz de detectar y prevenir estos ataques. Estos ataques han sido descubiertos recientemente, y han aumentado como vector de ataque en la actualidad. Es decir, con este kit podrás evitar este tipo de engaños de dependencias que terminan siendo paquetes maliciosos (en vez de instalar la dependencia correcta que se debería instalar para el software que el gestor de paquetes está instalando).

En estos casos, los usuarios no son conscientes, se fían del gestor de paquetes que es el que automatiza el trabajo de las dependencias. Sin embargo, estarían autorizando código malicioso sin saberlo. Ahí es donde Dependency Combobulator se vuelve interesante, para evaluar diferentes fuentes como GitHub, JFrog Artifactory, etc.

 

Esta herramienta está desarrollada en lenguaje de programación Python, y usa un motor heurístico que funciona en un modelo de paquete abstracto, lo que proporciona fácil extensibilidad. Además de la flexibilidad, también puede llevar a los profesionales de la seguridad a tomar mejores decisiones. Puede integrarse fácilmente, y se lanza de forma automática.

A raíz de la decisión del investigador de seguridad Alex Birsan de comprometer los ecosistemas mantenidos por Apple, Microsoft y PayPal a principios de este año, la industria experimentó un brote de ataques similares a la cadena de suministro”, dijo Moshe Zioni , vicepresidente de investigación de seguridad de Apiiro . “Estábamos ansiosos por responder creando un conjunto de herramientas que puede mitigar amenazas similares y ser lo suficientemente flexible y extensible para combatir las futuras oleadas de ataques de confusión de dependencia. Abordar este vector de ataque es esencial para que las organizaciones aseguren con éxito sus cadenas de suministro de software «.


El contenido del artículo se adhiere a nuestros principios de ética editorial. Para notificar un error pincha aquí.

Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada.

*

*

  1. Responsable de los datos: AB Internet Networks 2008 SL
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.