Kombobulator ovisnosti je open source alata za borbu protiv napada konfuzije / zamjene ovisnosti. Odnosno, oni napadi koji koriste prednost javnog ili privatnog spremišta softverskih projekata kako bi zbunili upravitelja paketa i prikrili pakete koji bi mogli biti ovisnosti, ali su usmjereni na izvođenje neke vrste napada.
Apiiro je lansirao Dependency Combobulator upravo kako bi se mogao boriti protiv toga. Komplet alata sposoban za otkriti i spriječiti ove napade. Ovi napadi su tek nedavno otkriveni, a danas su narasli kao vektor napada. Drugim riječima, s ovim kompletom moći ćete izbjeći ovu vrstu prevare ovisnosti koja na kraju bude zlonamjerni paketi (umjesto instaliranja ispravne ovisnosti koja bi trebala biti instalirana za softver koji instalira upravitelj paketa).
U tim slučajevima korisnici nisu svjesni, oni vjeruju paketnom upravitelju koji automatizira rad ovisnosti. Međutim, autorizirali bi zlonamjerni kod, a da to ne znaju. To je mjesto gdje Dependency Combobulator postaje zanimljiv, za procjenu različitih izvora kao što su GitHub, JFrog Artifactory, itd.
Ovaj alat je razvijen u programskom jeziku Python i koristi a heuristički motor koji radi na apstraktnom modelu paketa, pružajući laku proširivost. Osim fleksibilnosti, može navesti i sigurnosne stručnjake da donose bolje odluke. Može se jednostavno integrirati i automatski se pokreće.
"Nakon odluke istraživača sigurnosti Alexa Birsana da ugrozi ekosustave koje održavaju Apple, Microsoft i PayPal ranije ove godine, industrija je iskusila izbijanje napadaja slično lancu opskrbe“, rekao je Moshe Zioni, Apiirov potpredsjednik za sigurnosna istraživanja. "Željeli smo odgovoriti stvaranjem skupa alata koji mogu ublažiti slične prijetnje te biti dovoljno fleksibilni i proširivi za borbu protiv budućih valova napada konfuzije ovisnosti. Rješavanje ovog vektora napada ključno je za organizacije kako bi uspješno osigurale svoje lance opskrbe softverom. ”.