Dependency Combobulator er en åpen kildekode verktøysett for å bekjempe forvirring / avhengighetssubstitusjonsangrep. Det vil si de angrepene som utnytter et offentlig eller privat depot av programvareprosjekter for å forvirre pakkebehandleren og snike pakker som antas å være avhengigheter, men som er rettet mot å utføre en eller annen type angrep.
Apiiro lanserte Dependency Combobulator nettopp for å kunne bekjempe dette. Et verktøysett som kan oppdage og forhindre disse angrepene. Disse angrepene har først nylig blitt oppdaget, og har vokst som en angrepsvektor i dag. Med andre ord, med dette settet vil du kunne unngå denne typen avhengighetsknep som ender opp som ondsinnede pakker (i stedet for å installere riktig avhengighet som skal installeres for programvaren som pakkebehandleren installerer).
I disse tilfellene er brukerne ikke klar over, de stoler på pakkebehandleren som er den som automatiserer arbeidet til avhengigheter. Imidlertid ville de autorisere ondsinnet kode uten å vite det. Det er der Dependency Combobulator blir interessant, for å evaluere forskjellige kilder som GitHub, JFrog Artifactory, etc.
Dette verktøyet er utviklet i programmeringsspråket Python, og bruker en heuristisk motor som fungerer på en abstrakt pakkemodell, som gir enkel utvidbarhet. I tillegg til fleksibilitet kan det også føre til at sikkerhetseksperter tar bedre beslutninger. Den kan enkelt integreres, og den starter automatisk.
"I kjølvannet av sikkerhetsforsker Alex Birsans beslutning om å kompromittere økosystemer vedlikeholdt av Apple, Microsoft og PayPal tidligere i år, opplevde industrien et utbrudd av anfall lik forsyningskjeden"Sa Moshe Zioni, Apiiros visepresident for sikkerhetsforskning. "Vi var ivrige etter å svare ved å lage en pakke med verktøy som kan dempe lignende trusler og være fleksible og utvidbare nok til å bekjempe fremtidige bølger av avhengighetsforvirringsangrep. Å adressere denne angrepsvektoren er avgjørende for at organisasjoner skal kunne sikre sine programvareforsyningskjeder. ".