依存関係コンボビュレーター あります オープンソースツールキット 混乱/依存関係置換攻撃と戦うため。 つまり、ソフトウェアプロジェクトのパブリックまたはプライベートリポジトリを利用して、パッケージマネージャーを混乱させ、依存関係と思われるが何らかの種類の攻撃を実行することを目的としたパッケージをスニークする攻撃です。
Apiiroは、これと戦うことができるように、DependencyCombobulatorを正確に立ち上げました。 できるツールキット これらの攻撃を検出して防止します。 これらの攻撃は最近発見されたばかりであり、今日では攻撃ベクトルとして成長しています。 言い換えると、このキットを使用すると、(パッケージマネージャーがインストールするソフトウェアにインストールする必要がある正しい依存関係をインストールする代わりに)悪意のあるパッケージになるこのタイプの依存関係のデマを回避できます。
これらの場合、ユーザーは気づいていません、彼らはの仕事を自動化するものであるパッケージマネージャーを信頼します 依存関係。 しかし、彼らはそれを知らずに悪意のあるコードを許可するでしょう。 ここで、Dependency Combobulatorが興味深いものになり、GitHub、JFrogArtifactoryなどのさまざまなソースを評価します。
このツールはPythonプログラミング言語で開発されており、 ヒューリスティックエンジン これは抽象的なパッケージモデルで機能し、簡単な拡張性を提供します。 柔軟性に加えて、セキュリティの専門家がより良い意思決定を行うように導くこともできます。 簡単に統合でき、自動的に起動します。
「今年初めにApple、Microsoft、PayPalによって維持されているエコシステムを危険にさらすというセキュリティ研究者のAlex Birsanの決定を受けて、業界は経験を積んだ 発作の発生 サプライチェーンに似ていますApiiroのセキュリティ研究担当副社長であるMosheZioniは次のように述べています。 「」私たちは、同様の脅威を軽減し、依存関係の混乱攻撃の将来の波に対抗するのに十分な柔軟性と拡張性を備えた一連のツールを作成することで対応したいと考えていました。 この攻撃ベクトルに対処することは、組織がソフトウェアサプライチェーンを正常に保護するために不可欠です。 "