Kombobulator odvisnosti je odprtokodni komplet orodij za boj proti napadom zamenjave zmede/odvisnosti. To pomeni tiste napade, ki izkoriščajo javno ali zasebno skladišče programskih projektov, da zmedejo upravitelja paketov in prikrivajo pakete, ki bi bili domnevno odvisni, vendar so namenjeni izvajanju neke vrste napada.
Apiiro je lansiral Dependency Combobulator ravno zato, da bi se lahko boril proti temu. Komplet orodij, ki je sposoben odkrivanje in preprečevanje teh napadov. Ti napadi so bili odkriti šele pred kratkim in so danes postali vektor napada. Z drugimi besedami, s tem kompletom se boste lahko izognili tej vrsti prevare odvisnosti, ki se konča z zlonamernimi paketi (namesto namestitve pravilne odvisnosti, ki bi jo morali namestiti za programsko opremo, ki jo namešča upravitelj paketov).
V teh primerih se uporabniki ne zavedajo, zaupajo upravitelju paketov, ki je tisti, ki avtomatizira delo odvisnosti. Vendar bi avtorizirali zlonamerno kodo, ne da bi tega vedeli. Tam postane Dependency Combobulator zanimiv za ocenjevanje različnih virov, kot so GitHub, JFrog Artifactory itd.
To orodje je razvito v programskem jeziku Python in uporablja a hevristični motor ki deluje na abstraktnem modelu paketa, kar zagotavlja enostavno razširljivost. Poleg prilagodljivosti lahko varnostne strokovnjake vodi k boljšim odločitvam. Lahko se enostavno integrira in se zažene samodejno.
"Po odločitvi varnostnega raziskovalca Alexa Birsana, da ogrozi ekosisteme, ki jih vzdržujejo Apple, Microsoft in PayPal v začetku tega leta, je industrija doživela izbruh epileptičnih napadov podobno kot dobavna veriga« je dejal Moshe Zioni, podpredsednik za varnostne raziskave podjetja Apiiro. "Želeli smo se odzvati z ustvarjanjem zbirke orodij, ki lahko ublažijo podobne grožnje ter so dovolj prilagodljiva in razširljiva za boj proti prihodnjim valovom napadov zmede odvisnosti. Obravnavanje tega vektorja napadov je bistvenega pomena za organizacije, da lahko uspešno zaščitijo svoje dobavne verige programske opreme. ".