Combobulator de dependență este un trusa de instrumente open source pentru a combate confuzia/atacurile de substituție a dependenței. Adică acele atacuri care profită de un depozit public sau privat de proiecte software pentru a deruta managerul de pachete și furnizează pachete care ar fi presupuse dependențe, dar care au ca scop efectuarea unui tip de atac.
Apiiro a lansat Dependency Combobulator tocmai pentru a putea lupta cu asta. Un set de instrumente capabil de detectarea și prevenirea acestor atacuri. Aceste atacuri au fost descoperite doar recent și au crescut ca vector de atac astăzi. Cu alte cuvinte, cu acest kit veți putea evita acest tip de farsă de dependență care ajunge să fie pachete rău intenționate (în loc să instalați dependența corectă care ar trebui instalată pentru software-ul pe care managerul de pachete îl instalează).
În aceste cazuri, utilizatorii nu sunt conștienți, au încredere în managerul de pachete care este cel care automatizează munca dependențe. Cu toate acestea, ar autoriza coduri rău intenționate fără să știe. Acolo devine interesant Dependency Combobulator, pentru a evalua diferite surse precum GitHub, JFrog Artifactory etc.
Acest instrument este dezvoltat în limbajul de programare Python și folosește a motor euristic care funcționează pe un model de pachet abstract, oferind extensibilitate ușoară. Pe lângă flexibilitate, poate determina și profesioniștii în securitate să ia decizii mai bune. Poate fi integrat cu ușurință și se lansează automat.
În urma deciziei cercetătorului de securitate Alex Birsan de a compromite ecosistemele întreținute de Apple, Microsoft și PayPal la începutul acestui an, industria a experimentat un focar de convulsii similar cu lanțul de aprovizionare” a spus Moshe Zioni, vicepreședintele Apiiro pentru cercetare în domeniul securității. "Am fost dornici să răspundem creând o suită de instrumente care pot atenua amenințările similare și pot fi suficient de flexibile și extensibile pentru a combate viitoarele valuri de atacuri de confuzie în dependență. Abordarea acestui vector de atac este esențială pentru ca organizațiile să își asigure cu succes lanțurile de aprovizionare cu software. “.