Комбобулятор зависимостей является набор инструментов с открытым исходным кодом для борьбы с атаками замещения путаницы / зависимостей. Другими словами, те атаки, которые используют публичный или частный репозиторий программных проектов, чтобы запутать диспетчер пакетов и скрыть пакеты, которые предположительно являются зависимостями, но нацелены на выполнение некоторого типа атаки.
Apiiro запустил Dependency Combobulator именно для того, чтобы с этим бороться. Инструментарий, способный обнаруживать и предотвращать эти атаки. Эти атаки были обнаружены совсем недавно, и сегодня они превратились в вектор атаки. Другими словами, с помощью этого набора вы сможете избежать этого типа обмана зависимостей, который в конечном итоге оказывается вредоносными пакетами (вместо установки правильной зависимости, которая должна быть установлена для программного обеспечения, устанавливаемого диспетчером пакетов).
В этих случаях пользователи не знают, они доверяют диспетчеру пакетов, который автоматизирует работу зависимости. Однако они будут авторизовывать вредоносный код, не зная об этом. Вот где становится интересным Dependency Combobulator для оценки различных источников, таких как GitHub, JFrog Artifactory и т. Д.
Этот инструмент разработан на языке программирования Python и использует эвристический движок который работает с абстрактной моделью пакета, обеспечивая легкую расширяемость. Помимо гибкости, это также может побудить специалистов по безопасности принимать более обоснованные решения. Его легко интегрировать, и он запускается автоматически.
После решения исследователя безопасности Алекса Бирсана поставить под угрозу экосистемы, поддерживаемые Apple, Microsoft и PayPal ранее в этом году, отрасль испытала вспышка судорог аналогично цепочке поставок”Саид Моше Циони, вице-президент Apiiro по исследованиям в области безопасности. "Мы стремились отреагировать, создав набор инструментов, которые могут смягчить аналогичные угрозы и быть достаточно гибкими и расширяемыми, чтобы противостоять будущим волнам атак на основе путаницы зависимостей. Устранение этого вектора атаки имеет важное значение для организаций, чтобы успешно защитить свои цепочки поставок программного обеспечения. ».