종속성 조합기 하는 오픈 소스 툴킷 혼란/의존성 대체 공격과 싸우기 위해. 즉, 소프트웨어 프로젝트의 공용 또는 사설 저장소를 이용하여 패키지 관리자를 혼동시키고 종속성으로 간주되지만 특정 유형의 공격을 수행하는 것을 목표로 하는 패키지를 몰래 만드는 공격입니다.
Apiiro는 이를 방지하기 위해 Dependency Comboulator를 출시했습니다. 할 수 있는 툴킷 이러한 공격을 감지하고 방지. 이러한 공격은 최근에야 발견되었으며 오늘날 공격 벡터로 성장했습니다. 즉, 이 키트를 사용하면 (패키지 관리자가 설치하는 소프트웨어에 대해 설치해야 하는 올바른 종속성을 설치하는 대신) 악성 패키지로 끝나는 이러한 유형의 종속성 사기를 피할 수 있습니다.
이러한 경우 사용자는 알지 못하고 작업을 자동화하는 패키지 관리자를 신뢰합니다. 종속성. 그러나 그들은 자신도 모르게 악성 코드를 승인할 것입니다. 그것이 GitHub, JFrog Artifactory 등과 같은 다양한 소스를 평가하기 위해 Dependency Comboulator가 흥미로운 곳입니다.
이 도구는 Python 프로그래밍 언어로 개발되었으며 휴리스틱 엔진 추상 패키지 모델에서 작동하여 쉬운 확장성을 제공합니다. 유연성 외에도 보안 전문가가 더 나은 결정을 내리도록 유도할 수도 있습니다. 쉽게 통합할 수 있으며 자동으로 실행됩니다.
"올해 초 보안 연구원 Alex Birsan이 Apple, Microsoft 및 PayPal이 유지 관리하는 생태계를 손상시키기로 결정한 후 업계는 경험했습니다. 발작의 발발 공급망과 유사"Apiiro의 보안 연구 부사장인 Moshe Zioni가 말했습니다. "우리는 유사한 위협을 완화할 수 있고 미래의 종속성 혼란 공격에 대처할 수 있을 만큼 유연하고 확장 가능한 도구 모음을 만들어 대응하기를 열망했습니다. 이 공격 벡터를 해결하는 것은 조직이 소프트웨어 공급망을 성공적으로 보호하는 데 필수적입니다. ".