Συνδυαστής εξάρτησης είναι ένα εργαλειοθήκη ανοιχτού κώδικα για την καταπολέμηση επιθέσεων σύγχυσης / αντικατάστασης εξάρτησης. Δηλαδή, εκείνες οι επιθέσεις που εκμεταλλεύονται ένα δημόσιο ή ιδιωτικό χώρο αποθήκευσης έργων λογισμικού για να μπερδέψουν τον διαχειριστή πακέτων και κρυφά πακέτα που θα ήταν υποτιθέμενες εξαρτήσεις αλλά που στοχεύουν στην πραγματοποίηση κάποιου τύπου επίθεσης.
Η Apiiro ξεκίνησε το Dependency Combobulator ακριβώς για να μπορέσει να το αντιμετωπίσει. Μια εργαλειοθήκη ικανή να εντοπίσει και να αποτρέψει αυτές τις επιθέσεις. Αυτές οι επιθέσεις ανακαλύφθηκαν πρόσφατα και έχουν αναπτυχθεί ως φορέας επίθεσης σήμερα. Με άλλα λόγια, με αυτό το κιτ θα μπορείτε να αποφύγετε αυτόν τον τύπο φάρσας εξάρτησης που καταλήγει να είναι κακόβουλα πακέτα (αντί να εγκαταστήσετε τη σωστή εξάρτηση που θα πρέπει να εγκατασταθεί για το λογισμικό που εγκαθιστά ο διαχειριστής πακέτων).
Σε αυτές τις περιπτώσεις, οι χρήστες δεν γνωρίζουν, εμπιστεύονται τον διαχειριστή πακέτων που είναι αυτός που αυτοματοποιεί την εργασία του εξαρτήσεις. Ωστόσο, θα εξουσιοδοτούσαν κακόβουλο κώδικα χωρίς να το γνωρίζουν. Εκεί γίνεται ενδιαφέρον το Dependency Combobulator, για την αξιολόγηση διαφορετικών πηγών όπως το GitHub, το JFrog Artifactory κ.λπ.
Αυτό το εργαλείο έχει αναπτυχθεί στη γλώσσα προγραμματισμού Python και χρησιμοποιεί α ευρετική μηχανή που λειτουργεί σε ένα μοντέλο αφηρημένου πακέτου, παρέχοντας εύκολη επεκτασιμότητα. Εκτός από την ευελιξία, μπορεί επίσης να οδηγήσει τους επαγγελματίες ασφαλείας στη λήψη καλύτερων αποφάσεων. Μπορεί εύκολα να ενσωματωθεί και εκκινείται αυτόματα.
"Στον απόηχο της απόφασης του ερευνητή ασφάλειας Alex Birsan να θέσει σε κίνδυνο τα οικοσυστήματα που διατηρούσαν η Apple, η Microsoft και η PayPal νωρίτερα αυτό το έτος, ο κλάδος γνώρισε ξέσπασμα επιληπτικών κρίσεων παρόμοια με την αλυσίδα εφοδιασμού"Είπε ο Moshe Zioni, αντιπρόεδρος της Apiiro για την έρευνα ασφαλείας. "Ήμασταν πρόθυμοι να απαντήσουμε δημιουργώντας μια σειρά εργαλείων που μπορούν να μετριάσουν παρόμοιες απειλές και να είναι αρκετά ευέλικτα και επεκτάσιμα για να καταπολεμήσουμε μελλοντικά κύματα επιθέσεων σύγχυσης εξαρτήσεων. Η αντιμετώπιση αυτού του φορέα επίθεσης είναι απαραίτητη για τους οργανισμούς ώστε να εξασφαλίσουν με επιτυχία τις αλυσίδες εφοδιασμού λογισμικού τους. ".