Priklausomybės kombinatorius yra atvirojo kodo įrankių rinkinys kovoti su painiavos / priklausomybės pakeitimo atakomis. Tai reiškia, kad tos atakos, kurios naudojasi viešąja ar privačia programinės įrangos projektų saugykla, kad suklaidintų paketų tvarkyklę ir slapta paimtų paketus, kurie būtų tariamai priklausomybės, bet kuriais siekiama įvykdyti tam tikrą ataką.
Apiiro paleido Dependency Combobulator būtent tam, kad galėtų su tuo kovoti. Įrankių rinkinys, galintis aptikti ir užkirsti kelią šiems išpuoliams. Šios atakos buvo atrastos visai neseniai ir šiandien išaugo kaip atakų vektorius. Kitaip tariant, naudodami šį rinkinį galėsite išvengti tokio tipo priklausomybės apgaulės, kuri galiausiai tampa kenkėjiškais paketais (užuot įdiegę tinkamą priklausomybę, kuri turėtų būti įdiegta programinei įrangai, kurią diegia paketų tvarkyklė).
Tokiais atvejais vartotojai to nežino, jie pasitiki paketų tvarkykle, kuri automatizuoja darbą priklausomybės. Tačiau jie leistų kenkėjišką kodą to nežinodami. Štai čia Dependency Combobulator tampa įdomus, kad būtų galima įvertinti įvairius šaltinius, tokius kaip „GitHub“, „JFrog Artifactory“ ir kt.
Šis įrankis sukurtas Python programavimo kalba ir naudoja a euristinis variklis kuri veikia remiantis abstrakčiojo paketo modeliu ir užtikrina lengvą išplėtimą. Be lankstumo, tai taip pat gali paskatinti saugos specialistus priimti geresnius sprendimus. Jį galima lengvai integruoti ir jis paleidžiamas automatiškai.
"Po saugumo tyrinėtojo Alexo Birsano sprendimo šiais metais pažeisti „Apple“, „Microsoft“ ir „PayPal“ prižiūrimas ekosistemas, pramonė patyrė priepuolių protrūkis panašiai kaip tiekimo grandinėje“ – sakė Apiiro saugumo tyrimų viceprezidentas Moshe Zioni. “Labai norėjome atsakyti sukurdami įrankių rinkinį, galintį sumažinti panašias grėsmes ir būti pakankamai lankstūs bei išplečiami, kad kovotų su būsimomis priklausomybės painiavos atakų bangomis. Norint sėkmingai apsaugoti savo programinės įrangos tiekimo grandines, būtina pašalinti šį atakos vektorių. "