Dependency Combobulator : boîte à outils open source contre les attaques

Combodulateur de dépendances

Combodulateur de dépendances est un boîte à outils open source pour lutter contre les attaques de confusion / substitution de dépendance. C'est-à-dire les attaques qui profitent d'un référentiel public ou privé de projets logiciels pour confondre le gestionnaire de packages et introduire des packages qui seraient des dépendances supposées mais qui visent à effectuer un certain type d'attaque.

Apiiro a lancé Dependency Combobulator précisément pour pouvoir lutter contre cela. Une boîte à outils capable de détecter et prévenir ces attaques. Ces attaques n'ont été découvertes que récemment et sont devenues aujourd'hui un vecteur d'attaque. En d'autres termes, avec ce kit, vous pourrez éviter ce type de supercherie de dépendances qui finit par être des packages malveillants (au lieu d'installer la bonne dépendance qui doit être installée pour le logiciel que le gestionnaire de packages installe).

Dans ces cas, les utilisateurs ne sont pas au courant, ils font confiance au gestionnaire de paquets qui est celui qui automatise le travail de dépendances. Cependant, ils autoriseraient un code malveillant sans le savoir. C'est là que Dependency Combobulator devient intéressant, pour évaluer différentes sources comme GitHub, JFrog Artifactory, etc.

 

Cet outil est développé dans le langage de programmation Python, et utilise un moteur heuristique qui fonctionne sur un modèle de package abstrait, offrant une extensibilité facile. En plus de la flexibilité, cela peut également amener les professionnels de la sécurité à prendre de meilleures décisions. Il s'intègre facilement et se lance automatiquement.

"À la suite de la décision du chercheur en sécurité Alex Birsan de compromettre les écosystèmes maintenus par Apple, Microsoft et PayPal plus tôt cette année, l'industrie a connu une flambée de convulsions similaire à la chaîne d'approvisionnement», a déclaré Moshe Zioni, vice-président de la recherche en sécurité d'Apiiro. "Nous étions impatients de répondre en créant une suite d'outils capables d'atténuer des menaces similaires et d'être suffisamment flexibles et extensibles pour lutter contre les futures vagues d'attaques par confusion de dépendance. La lutte contre ce vecteur d'attaque est essentielle pour que les organisations réussissent à sécuriser leurs chaînes d'approvisionnement logicielles. «.


Le contenu de l'article adhère à nos principes de éthique éditoriale. Pour signaler une erreur, cliquez sur c'est par ici !.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.