Combinatore di dipendenza è un toolkit open source per combattere gli attacchi di sostituzione di confusione/dipendenza. Cioè, quegli attacchi che sfruttano un repository pubblico o privato di progetti software per confondere il gestore dei pacchetti e rubare pacchetti che sarebbero supposte dipendenze ma hanno lo scopo di eseguire un qualche tipo di attacco.
Apiiro ha lanciato Dependency Combobulator proprio per poterlo combattere. Un toolkit in grado di rilevare e prevenire questi attacchi. Questi attacchi sono stati scoperti solo di recente e oggi sono diventati un vettore di attacco. In altre parole, con questo kit sarai in grado di evitare questo tipo di bufala delle dipendenze che finisce per essere pacchetti dannosi (invece di installare la dipendenza corretta che dovrebbe essere installata per il software che sta installando il gestore di pacchetti).
In questi casi gli utenti non ne sono consapevoli, si fidano del gestore di pacchetti che è quello che automatizza il lavoro di dipendenze. Tuttavia, autorizzerebbero il codice dannoso senza saperlo. È qui che Dependency Combobulator diventa interessante, per valutare diverse fonti come GitHub, JFrog Artifactory, ecc.
Questo strumento è sviluppato nel linguaggio di programmazione Python e utilizza a motore euristico che funziona su un modello di pacchetto astratto, fornendo una facile estensibilità. Oltre alla flessibilità, può anche portare i professionisti della sicurezza a prendere decisioni migliori. Può essere facilmente integrato e si avvia automaticamente.
"Sulla scia della decisione del ricercatore di sicurezza Alex Birsan di compromettere gli ecosistemi gestiti da Apple, Microsoft e PayPal all'inizio di quest'anno, il settore ha sperimentato un focolaio di convulsioni simile alla filiera”Ha affermato Moshe Zioni, vicepresidente della ricerca sulla sicurezza di Apiiro. "Eravamo ansiosi di rispondere creando una suite di strumenti in grado di mitigare minacce simili ed essere sufficientemente flessibili ed estensibili per combattere future ondate di attacchi di confusione delle dipendenze. Affrontare questo vettore di attacco è essenziale per le organizzazioni per proteggere con successo le loro catene di fornitura del software. «.