Combobulator zależności jest zestaw narzędzi open source do zwalczania dezorientacji / ataków zastępowania zależności. To znaczy te ataki, które wykorzystują publiczne lub prywatne repozytorium projektów oprogramowania, aby zmylić menedżera pakietów i przemycić pakiety, które byłyby rzekomymi zależnościami, ale mają na celu przeprowadzenie pewnego rodzaju ataku.
Apiiro uruchomił Dependency Combobulator właśnie po to, by móc z tym walczyć. Zestaw narzędzi zdolny do: wykrywać i zapobiegać tym atakom. Ataki te zostały odkryte dopiero niedawno i dziś stały się wektorem ataków. Innymi słowy, dzięki temu zestawowi będziesz w stanie uniknąć tego typu oszustw związanych z zależnościami, które w końcu stają się złośliwymi pakietami (zamiast instalować poprawną zależność, która powinna być zainstalowana dla oprogramowania instalowanego przez menedżera pakietów).
W takich przypadkach użytkownicy nie są tego świadomi, ufają menedżerowi pakietów, który automatyzuje pracę zależności. Jednak autoryzowaliby złośliwy kod, nie wiedząc o tym. W tym miejscu Dependency Combobulator staje się interesujący, aby ocenić różne źródła, takie jak GitHub, JFrog Artifactory itp.
To narzędzie zostało opracowane w języku programowania Python i wykorzystuje silnik heurystyczny który działa na abstrakcyjnym modelu pakietu, zapewniając łatwą rozszerzalność. Oprócz elastyczności może również skłonić specjalistów ds. bezpieczeństwa do podejmowania lepszych decyzji. Można go łatwo zintegrować i uruchamia się automatycznie.
"W związku z decyzją badacza bezpieczeństwa Alexa Birsana o naruszeniu ekosystemów utrzymywanych na początku tego roku przez Apple, Microsoft i PayPal, branża doświadczyła wybuch drgawek podobny do łańcucha dostaw„Powiedział Moshe Zioni, wiceprezes ds. badań bezpieczeństwa w Apiiro. "Chcieliśmy zareagować, tworząc zestaw narzędzi, które mogą łagodzić podobne zagrożenia oraz być wystarczająco elastyczne i rozszerzalne, aby zwalczać przyszłe fale ataków dezorientacji zależności. Zajęcie się tym wektorem ataku jest niezbędne dla organizacji, aby skutecznie zabezpieczyć swoje łańcuchy dostaw oprogramowania. ".