Combodulateur de dépendances est un boîte à outils open source pour lutter contre les attaques de confusion / substitution de dépendance. C'est-à-dire les attaques qui profitent d'un référentiel public ou privé de projets logiciels pour confondre le gestionnaire de packages et introduire des packages qui seraient des dépendances supposées mais qui visent à effectuer un certain type d'attaque.
Apiiro a lancé Dependency Combobulator précisément pour pouvoir lutter contre cela. Une boîte à outils capable de détecter et prévenir ces attaques. Ces attaques n'ont été découvertes que récemment et sont devenues aujourd'hui un vecteur d'attaque. En d'autres termes, avec ce kit, vous pourrez éviter ce type de supercherie de dépendances qui finit par être des packages malveillants (au lieu d'installer la bonne dépendance qui doit être installée pour le logiciel que le gestionnaire de packages installe).
Dans ces cas, les utilisateurs ne sont pas au courant, ils font confiance au gestionnaire de paquets qui est celui qui automatise le travail de dépendances. Cependant, ils autoriseraient un code malveillant sans le savoir. C'est là que Dependency Combobulator devient intéressant, pour évaluer différentes sources comme GitHub, JFrog Artifactory, etc.
Cet outil est développé dans le langage de programmation Python, et utilise un moteur heuristique qui fonctionne sur un modèle de package abstrait, offrant une extensibilité facile. En plus de la flexibilité, cela peut également amener les professionnels de la sécurité à prendre de meilleures décisions. Il s'intègre facilement et se lance automatiquement.
"À la suite de la décision du chercheur en sécurité Alex Birsan de compromettre les écosystèmes maintenus par Apple, Microsoft et PayPal plus tôt cette année, l'industrie a connu une flambée de convulsions similaire à la chaîne d'approvisionnement», a déclaré Moshe Zioni, vice-président de la recherche en sécurité d'Apiiro. "Nous étions impatients de répondre en créant une suite d'outils capables d'atténuer des menaces similaires et d'être suffisamment flexibles et extensibles pour lutter contre les futures vagues d'attaques par confusion de dépendance. La lutte contre ce vecteur d'attaque est essentielle pour que les organisations réussissent à sécuriser leurs chaînes d'approvisionnement logicielles. «.