Ketergantungan Combobulator adalah perangkat sumber terbuka untuk memerangi kebingungan / serangan substitusi ketergantungan. Yaitu, serangan-serangan yang memanfaatkan repositori publik atau pribadi proyek perangkat lunak untuk membingungkan manajer paket dan paket menyelinap yang seharusnya merupakan dependensi tetapi ditujukan untuk melakukan beberapa jenis serangan.
Apiiro meluncurkan Dependency Combobulator dengan tepat untuk bisa melawan ini. Sebuah toolkit yang mampu mendeteksi dan mencegah serangan ini. Serangan-serangan ini baru ditemukan baru-baru ini, dan telah berkembang sebagai vektor serangan hari ini. Dengan kata lain, dengan kit ini Anda akan dapat menghindari jenis tipu daya ketergantungan ini yang akhirnya menjadi paket berbahaya (alih-alih menginstal ketergantungan yang benar yang harus diinstal untuk perangkat lunak yang diinstal oleh manajer paket).
Dalam kasus ini, pengguna tidak sadar, mereka mempercayai pengelola paket yang mengotomatiskan pekerjaan ketergantungan. Namun, mereka akan mengotorisasi kode berbahaya tanpa menyadarinya. Di situlah Dependency Combobulator menjadi menarik, untuk mengevaluasi berbagai sumber seperti GitHub, JFrog Artifactory, dll.
Alat ini dikembangkan dalam bahasa pemrograman Python, dan menggunakan a mesin heuristik yang bekerja dalam model paket abstrak, memberikan ekstensibilitas yang mudah. Selain fleksibilitas, ini juga dapat mengarahkan profesional keamanan untuk membuat keputusan yang lebih baik. Itu dapat dengan mudah diintegrasikan, dan diluncurkan secara otomatis.
"Setelah keputusan peneliti keamanan Alex Birsan untuk mengkompromikan ekosistem yang dikelola oleh Apple, Microsoft, dan PayPal awal tahun ini, industri mengalami wabah kejang mirip dengan rantai pasokan”Kata Moshe Zioni, wakil presiden penelitian keamanan Apiiro. "Kami ingin sekali merespons dengan membuat seperangkat alat yang dapat mengurangi ancaman serupa dan cukup fleksibel serta dapat diperluas untuk memerangi gelombang serangan kebingungan ketergantungan di masa mendatang. Mengatasi vektor serangan ini sangat penting bagi organisasi untuk berhasil mengamankan rantai pasokan perangkat lunak mereka. ".