Combinador de dependências é um kit de ferramentas de código aberto para combater ataques de substituição de confusão / dependência. Ou seja, aqueles ataques que se aproveitam de um repositório público ou privado de projetos de software para confundir o gerenciador de pacotes e roubar pacotes que seriam supostas dependências, mas que visam realizar algum tipo de ataque.
Apiiro lançou o Dependency Combobulator justamente para poder combater isso. Um kit de ferramentas capaz de detectar e prevenir esses ataques. Esses ataques foram descobertos apenas recentemente e cresceram como um vetor de ataque hoje. Em outras palavras, com este kit você poderá evitar esse tipo de hoax de dependência que acaba sendo pacotes maliciosos (ao invés de instalar a dependência correta que deveria ser instalada para o software que o gerenciador de pacotes está instalando).
Nestes casos, os usuários não sabem, eles confiam no gerenciador de pacotes que é aquele que automatiza o trabalho do dependências. No entanto, eles estariam autorizando códigos maliciosos sem saber disso. É aí que o Dependency Combobulator fica interessante, para avaliar diferentes fontes como GitHub, JFrog Artifactory, etc.
Esta ferramenta foi desenvolvida na linguagem de programação Python e usa um mecanismo heurístico que funciona em um modelo de pacote abstrato, proporcionando fácil extensibilidade. Além da flexibilidade, também pode levar os profissionais de segurança a tomar melhores decisões. Pode ser facilmente integrado e inicializado automaticamente.
"Na esteira da decisão do pesquisador de segurança Alex Birsan de comprometer os ecossistemas mantidos pela Apple, Microsoft e PayPal no início deste ano, a indústria experimentou um surto de convulsões semelhante à cadeia de abastecimento”Disse Moshe Zioni, vice-presidente de pesquisa de segurança de Apiiro. "Estávamos ansiosos para responder criando um pacote de ferramentas que pode mitigar ameaças semelhantes e ser flexível e extensível o suficiente para combater futuras ondas de ataques de confusão de dependência. Abordar esse vetor de ataque é essencial para que as organizações protejam com sucesso suas cadeias de suprimentos de software. ".