Atkarības kombinators ir atvērtā pirmkoda rīku komplekts lai cīnītos pret apjukuma/atkarības aizstāšanas uzbrukumiem. Proti, tie uzbrukumi, kuros tiek izmantotas publiskas vai privātas programmatūras projektu repozitorija sniegtās priekšrocības, lai sajauktu pakotņu pārvaldnieku un slēptu pakotnes, kas būtu it kā atkarības, bet kuru mērķis ir veikt kāda veida uzbrukumu.
Apiiro palaida Dependency Combobulator tieši tāpēc, lai spētu ar to cīnīties. Rīku komplekts, kas spēj atklāt un novērst šos uzbrukumus. Šie uzbrukumi tika atklāti tikai nesen, un mūsdienās tie ir izauguši kā uzbrukuma vektors. Citiem vārdiem sakot, ar šo komplektu jūs varēsiet izvairīties no šāda veida atkarības mānīšanas, kas galu galā kļūst par ļaunprātīgām pakotnēm (tā vietā, lai instalētu pareizo atkarību, kas jāinstalē programmatūrai, kuru instalē pakotņu pārvaldnieks).
Šādos gadījumos lietotāji neapzinās, viņi uzticas pakotņu pārvaldniekam, kas automatizē darbu atkarības. Tomēr viņi autorizētu ļaunprātīgu kodu, to nezinot. Šeit kļūst interesants Dependency Combobulator, lai novērtētu dažādus avotus, piemēram, GitHub, JFrog Artifactory utt.
Šis rīks ir izstrādāts Python programmēšanas valodā un izmanto a heiristiskais dzinējs kas darbojas uz abstrakta pakotnes modeļa, nodrošinot vieglu paplašināšanu. Papildus elastībai tas var arī likt drošības speciālistiem pieņemt labākus lēmumus. To var viegli integrēt, un tas tiek palaists automātiski.
"Pēc drošības pētnieka Aleksa Birsana lēmuma kompromitēt Apple, Microsoft un PayPal uzturētās ekosistēmas šā gada sākumā, nozare piedzīvoja krampju uzliesmojums līdzīgi kā piegādes ķēdē”Sacīja Apiiro drošības pētījumu viceprezidents Moshe Zioni. "Mēs vēlējāmies reaģēt, izveidojot rīku komplektu, kas var mazināt līdzīgus draudus un ir pietiekami elastīgs un paplašināms, lai cīnītos pret turpmākajiem atkarības apjukuma uzbrukumu viļņiem. Šī uzbrukuma vektora risināšana ir būtiska, lai organizācijas varētu veiksmīgi nodrošināt programmatūras piegādes ķēdes. ".