Riippuvuuskombobulaattori on avoimen lähdekoodin työkalupakki hämmennys-/riippuvuuskorvaushyökkäysten torjuntaan. Toisin sanoen ne hyökkäykset, joissa hyödynnetään ohjelmistoprojektien julkista tai yksityistä arkistosta pakettien hallintaa hämmentämään ja paketteja, jotka olisivat oletettuja riippuvuuksia, mutta joiden tarkoituksena on suorittaa jonkinlainen hyökkäys.
Apiiro julkaisi Dependency Combobulatorin juuri voidakseen taistella tätä vastaan. Työkalusarja, joka pystyy havaita ja estää nämä hyökkäykset. Nämä hyökkäykset on löydetty vasta äskettäin, ja ne ovat kasvaneet hyökkäysvektorina nykyään. Toisin sanoen tämän sarjan avulla voit välttää tämän tyyppiset riippuvuushuijaukset, jotka päätyvät haitallisiksi paketeiksi (sen sijaan, että asentaisit oikean riippuvuuden, joka pitäisi asentaa ohjelmistolle, jota paketinhallintaohjelma asentaa).
Näissä tapauksissa käyttäjät eivät ole tietoisia, he luottavat paketinhallintaan, joka automatisoi paketin työn riippuvuudet. He kuitenkin hyväksyisivät haitallisen koodin tietämättään. Siellä Dependency Combobulator tulee mielenkiintoiseksi arvioimaan erilaisia lähteitä, kuten GitHub, JFrog Artifactory jne.
Tämä työkalu on kehitetty Python-ohjelmointikielellä ja käyttää a heuristinen moottori joka toimii abstraktissa pakettimallissa ja tarjoaa helpon laajennettavuuden. Joustavuuden lisäksi se voi myös saada tietoturva-ammattilaiset tekemään parempia päätöksiä. Se voidaan integroida helposti ja se käynnistyy automaattisesti.
"Turvatutkija Alex Birsanin aiemmin tänä vuonna tekemän päätöksen vaarantaa Applen, Microsoftin ja PayPalin ylläpitämät ekosysteemit, ala koki kohtausten puhkeaminen samanlainen kuin toimitusketjussa”Sanoi Moshe Zioni, Apiiron turvallisuustutkimuksen johtaja. "Vastasimme innokkaasti luomalla joukon työkaluja, jotka voivat lieventää samankaltaisia uhkia ja olla riittävän joustavia ja laajennettavia taistellakseen tulevien riippuvuushäiriöhyökkäysten aaltojen torjumiseen. Tähän hyökkäysvektoriin puuttuminen on välttämätöntä, jotta organisaatiot voivat turvata ohjelmistojen toimitusketjunsa onnistuneesti. ".