Kombinátor závislostí je open source toolkit na boj proti zmätku / útokom na nahradenie závislosti. To znamená, že ide o útoky, ktoré využívajú verejné alebo súkromné úložisko softvérových projektov na zmiasť správcu balíkov a prepašujú balíky, ktoré by mohli byť údajnými závislosťami, ale ktoré sú zamerané na vykonanie nejakého typu útoku.
Apiiro spustil Dependency Combobulator práve preto, aby s tým mohol bojovať. Súprava nástrojov schopná odhaliť a zabrániť týmto útokom. Tieto útoky boli objavené len nedávno a dnes sa rozrástli ako vektor útoku. Inými slovami, s touto súpravou sa budete môcť vyhnúť tomuto typu podvodu so závislosťami, ktorý skončí ako škodlivé balíky (namiesto inštalácie správnej závislosti, ktorá by mala byť nainštalovaná pre softvér, ktorý inštaluje správca balíkov).
V týchto prípadoch si používatelia nie sú vedomí, dôverujú správcovi balíkov, ktorý automatizuje prácu závislosti. Autorizovali by však škodlivý kód bez toho, aby o tom vedeli. To je miesto, kde je Dependency Combobulator zaujímavý, na vyhodnocovanie rôznych zdrojov ako GitHub, JFrog Artifactory atď.
Tento nástroj je vyvinutý v programovacom jazyku Python a používa a heuristický motor ktorý funguje na modeli abstraktného balíka a poskytuje jednoduchú rozšíriteľnosť. Okrem flexibility môže viesť aj bezpečnostných profesionálov k lepším rozhodnutiam. Dá sa jednoducho integrovať a spúšťa sa automaticky.
"V dôsledku rozhodnutia bezpečnostného výskumníka Alexa Birsana ohroziť ekosystémy spravované spoločnosťami Apple, Microsoft a PayPal začiatkom tohto roka, toto odvetvie zažilo vypuknutie záchvatov podobne ako v dodávateľskom reťazci“Povedal Moshe Zioni, viceprezident Apiiro pre bezpečnostný výskum. "Dychtivo sme reagovali vytvorením súboru nástrojov, ktoré dokážu zmierniť podobné hrozby a ktoré sú dostatočne flexibilné a rozšíriteľné na boj proti budúcim vlnám útokov zmätených závislostí. Riešenie tohto vektora útokov je pre organizácie nevyhnutné na úspešné zabezpečenie dodávateľských reťazcov softvéru. ".