Afhankelijkheid Combobulator is een open source-toolkit om verwarring / afhankelijkheidsvervangingsaanvallen te bestrijden. Dat wil zeggen, die aanvallen die misbruik maken van een openbare of privé-opslagplaats van softwareprojecten om de pakketbeheerder in verwarring te brengen en pakketten te smokkelen die verondersteld worden afhankelijk te zijn, maar die gericht zijn op het uitvoeren van een soort aanval.
Apiiro lanceerde Dependency Combobulator juist om dit te kunnen bestrijden. Een toolkit die in staat is om deze aanvallen detecteren en voorkomen. Deze aanvallen zijn pas onlangs ontdekt en zijn tegenwoordig uitgegroeid tot een aanvalsvector. Met andere woorden, met deze kit kun je dit soort afhankelijkheidshoax vermijden dat uiteindelijk kwaadaardige pakketten wordt (in plaats van de juiste afhankelijkheid te installeren die moet worden geïnstalleerd voor de software die de pakketbeheerder installeert).
In deze gevallen zijn gebruikers niet op de hoogte, ze vertrouwen de pakketbeheerder, die het werk van automatiseert afhankelijkheden. Ze zouden echter kwaadaardige code autoriseren zonder het te weten. Dat is waar Dependency Combobulator interessant wordt, om verschillende bronnen zoals GitHub, JFrog Artifactory, enz. te evalueren.
Deze tool is ontwikkeld in de programmeertaal Python en gebruikt a heuristische motor die werkt op een abstract pakketmodel, wat gemakkelijke uitbreidbaarheid biedt. Naast flexibiliteit kan het beveiligingsprofessionals ook ertoe brengen betere beslissingen te nemen. Het kan eenvoudig worden geïntegreerd en het wordt automatisch gestart.
"In het kielzog van het besluit van beveiligingsonderzoeker Alex Birsan om de ecosystemen van Apple, Microsoft en PayPal eerder dit jaar in gevaar te brengen, ondervond de industrie een uitbraak van epileptische aanvallen vergelijkbaar met de toeleveringsketen"Zei Moshe Zioni, Apiiro's vice-president van veiligheidsonderzoek. "We wilden graag reageren door een reeks tools te creëren die vergelijkbare bedreigingen kunnen verminderen en flexibel en uitbreidbaar genoeg zijn om toekomstige golven van afhankelijkheidsverwarringsaanvallen te bestrijden. Het aanpakken van deze aanvalsvector is essentieel voor organisaties om hun softwaretoeleveringsketens met succes te beveiligen. ".