Combobulator של תלות הוא ערכת כלים בקוד פתוח להילחם בבלבול/התקפות תחליפי תלות. כלומר, אותן התקפות שמנצלות מאגר ציבורי או פרטי של פרויקטי תוכנה כדי לבלבל את מנהל החבילות ולהגניב חבילות שאמורות להיות תלויות אבל שמטרתן לבצע סוג כלשהו של התקפה.
Apiiro השיק את Dependency Combobulator בדיוק כדי להיות מסוגל להילחם בזה. ערכת כלים מסוגלת לזהות ולמנוע התקפות אלו. התקפות אלו התגלו רק לאחרונה, וצמחו כיום כווקטור תקיפה. במילים אחרות, עם ערכה זו תוכלו להימנע מסוג זה של מתיחה של תלות שבסופו של דבר היא חבילות זדוניות (במקום להתקין את התלות הנכונה שאמורה להיות מותקנת עבור התוכנה שמנהל החבילות מתקין).
במקרים אלה, המשתמשים אינם מודעים, הם סומכים על מנהל החבילות שהוא זה שממכן את העבודה של תלות. עם זאת, הם יאשרו קוד זדוני מבלי לדעת זאת. זה המקום שבו Dependency Combobulator נעשה מעניין, כדי להעריך מקורות שונים כמו GitHub, JFrog Artifactory וכו '.
כלי זה פותח בשפת התכנות Python, ומשתמש ב-a מנוע היוריסטי שעובד על מודל חבילה מופשטת, המספק הרחבה קלה. בנוסף לגמישות, זה יכול גם להוביל אנשי מקצוע בתחום האבטחה לקבל החלטות טובות יותר. ניתן לשלב אותו בקלות, והוא מופעל אוטומטית.
"בעקבות החלטת חוקר האבטחה אלכס בירסן להתפשר על מערכות אקולוגיות שמתוחזקים על ידי אפל, מיקרוסופט ופייפאל מוקדם יותר השנה, התנסתה התעשייה התפרצות של התקפים בדומה לשרשרת האספקה"אמר משה ציוני, סגן נשיא אפיירו לחקר הביטחון. "היינו להוטים להגיב על ידי יצירת חבילת כלים שיכולה למתן איומים דומים ולהיות גמישים וניתנים להרחבה מספיק כדי להילחם בגלי עתידיים של התקפות בלבול תלות. טיפול בוקטור התקפה זה חיוני לארגונים כדי לאבטח בהצלחה את שרשראות אספקת התוכנה שלהם. ".