Sõltuvuskombinaator on avatud lähtekoodiga tööriistakomplekt segaduse/sõltuvuse asendusrünnakute vastu võitlemiseks. See tähendab, et need ründed, mis kasutavad ära tarkvaraprojektide avalikku või privaatset hoidlat, et ajada paketihaldur segadusse ja hiilida välja pakette, mis oleksid oletatavad sõltuvused, kuid mille eesmärk on teatud tüüpi rünnak.
Apiiro käivitas Dependency Combobulatori just selleks, et sellega võidelda. Tööriistakomplekt, mis on võimeline neid rünnakuid tuvastada ja ära hoida. Need rünnakud avastati alles hiljuti ja tänapäeval on need rünnakuvektoriks kasvanud. Teisisõnu, selle komplektiga saate vältida seda tüüpi sõltuvusega seotud pettusi, mis lõppevad pahatahtlike paketidega (selle asemel, et installida õige sõltuvus, mis tuleks installida paketihalduri installitava tarkvara jaoks).
Sellistel juhtudel ei ole kasutajad teadlikud, nad usaldavad paketihaldurit, mis automatiseerib selle töö sõltuvused. Kuid nad lubaksid pahatahtlikku koodi ilma seda teadmata. Seal muutub Dependency Combobulator huvitavaks, et hinnata erinevaid allikaid, nagu GitHub, JFrog Artifactory jne.
See tööriist on välja töötatud Pythoni programmeerimiskeeles ja kasutab a heuristiline mootor mis töötab abstraktse paketi mudelil, pakkudes hõlpsat laiendatavust. Lisaks paindlikkusele võib see suunata ka turvaspetsialiste tegema paremaid otsuseid. Seda saab hõlpsasti integreerida ja see käivitub automaatselt.
"Seoses turvateadlase Alex Birsani otsusega kompromiteerida Apple'i, Microsofti ja PayPali hallatavaid ökosüsteeme selle aasta alguses koges tööstus krampide puhang sarnane tarneahelaga"Ütles Moshe Zioni, Apiiro turvauuringute asepresident. "Tahtsime innukalt reageerida, luues tööriistakomplekti, mis suudab sarnaseid ohte leevendada ning olla piisavalt paindlik ja laiendatav, et võidelda tulevaste sõltuvussegaduse rünnakute lainetega. Selle ründevektoriga tegelemine on organisatsioonide jaoks oma tarkvara tarneahelate edukaks kaitsmiseks hädavajalik. "