Dependency Combobulator egy nyílt forráskódú eszköztár a zavartság/függőségi helyettesítési támadások leküzdésére. Vagyis azok a támadások, amelyek kihasználják a szoftverprojektek nyilvános vagy privát tárházát, hogy megzavarják a csomagkezelőt, és olyan csomagokat csaljanak ki, amelyek feltételezett függőségek lennének, de valamilyen támadás végrehajtására irányulnak.
Az Apiiro éppen azért indította el a Dependency Combobulator-t, hogy fel tudjon küzdeni ez ellen. Egy eszköztár, amely képes észlelni és megelőzni ezeket a támadásokat. Ezeket a támadásokat csak a közelmúltban fedezték fel, és mára támadási vektorokká váltak. Más szóval, ezzel a készlettel elkerülheti az ilyen típusú függőségi csalásokat, amelyek rosszindulatú csomagokká válnak (ahelyett, hogy a megfelelő függőséget telepítené, amelyet a csomagkezelő által telepített szoftverhez kell telepíteni).
Ilyen esetekben a felhasználók nem tudnak róla, megbíznak abban a csomagkezelőben, amelyik automatizálja a munkáját függőségek. Ennek ellenére rosszindulatú kódot engedélyeznének anélkül, hogy tudnák. Itt válik érdekessé a Dependency Combobulator, hogy értékelje a különböző forrásokat, például a GitHubot, a JFrog Artifactoryt stb.
Ezt az eszközt a Python programozási nyelven fejlesztették ki, és a heurisztikus motor amely absztrakt csomagmodellel működik, könnyű bővíthetőséget biztosítva. A rugalmasság mellett jobb döntések meghozatalára is késztetheti a biztonsági szakembereket. Könnyen integrálható, és automatikusan elindul.
"Alex Birsan biztonsági kutató döntése nyomán az év elején, hogy kompromittálja az Apple, a Microsoft és a PayPal által fenntartott ökoszisztémákat, az iparág tapasztalt rohamok kitörése hasonló az ellátási lánchoz– mondta Moshe Zioni, Apiiro biztonsági kutatásokért felelős alelnöke. "Szívesen válaszoltunk egy olyan eszközcsomag létrehozására, amely képes mérsékelni a hasonló fenyegetéseket, és kellően rugalmas és bővíthető ahhoz, hogy leküzdje a függőségi zavarok jövőbeli hullámait. Ennek a támadási vektornak a kezelése elengedhetetlen ahhoz, hogy a szervezetek sikeresen biztosítsák szoftverellátási láncaikat. ”.