Combobulator พึ่งพา เป็น ชุดเครื่องมือโอเพ่นซอร์ส เพื่อต่อสู้กับความสับสน / การโจมตีทดแทนการพึ่งพา กล่าวคือ การโจมตีเหล่านั้นที่ใช้ประโยชน์จากพื้นที่เก็บข้อมูลสาธารณะหรือส่วนตัวของโครงการซอฟต์แวร์ เพื่อสร้างความสับสนให้กับตัวจัดการแพคเกจและแอบแฝงแพ็คเกจที่น่าจะเรียกว่าการพึ่งพา แต่มีจุดมุ่งหมายเพื่อดำเนินการโจมตีบางประเภท
Apiiro เปิดตัว Dependency Combobulator เพื่อให้สามารถต่อสู้กับสิ่งนี้ได้อย่างแม่นยำ ชุดเครื่องมือที่สามารถ ตรวจจับและป้องกันการโจมตีเหล่านี้. การโจมตีเหล่านี้เพิ่งถูกค้นพบและได้เติบโตขึ้นเป็นเวกเตอร์การโจมตีในปัจจุบัน กล่าวอีกนัยหนึ่ง ด้วยชุดนี้ คุณจะสามารถหลีกเลี่ยงการหลอกลวงการขึ้นต่อกันประเภทนี้ที่ลงเอยด้วยการเป็นแพ็คเกจที่เป็นอันตราย (แทนที่จะติดตั้งการพึ่งพาที่ถูกต้องซึ่งควรติดตั้งสำหรับซอฟต์แวร์ที่ตัวจัดการแพ็คเกจกำลังติดตั้ง)
ในกรณีเหล่านี้ ผู้ใช้ไม่รู้ตัว พวกเขาเชื่อใน package manager ซึ่งเป็นตัวจัดการงานของ . โดยอัตโนมัติ การพึ่งพา. อย่างไรก็ตาม พวกเขาจะอนุญาตโค้ดที่เป็นอันตรายโดยไม่รู้ตัว นั่นคือจุดที่น่าสนใจของ Dependency Combobulator เพื่อประเมินแหล่งที่มาต่างๆ เช่น GitHub, JFrog Artifactory เป็นต้น
เครื่องมือนี้พัฒนาขึ้นในภาษาโปรแกรม Python และใช้ a เครื่องยนต์ฮิวริสติก ซึ่งทำงานบนโมเดลแพ็คเกจนามธรรม ให้ขยายได้ง่าย นอกจากความยืดหยุ่นแล้ว ยังช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยตัดสินใจได้ดีขึ้นอีกด้วย สามารถรวมเข้าด้วยกันได้อย่างง่ายดายและเปิดใช้งานโดยอัตโนมัติ
"หลังจากการตัดสินใจของ Alex Birsan นักวิจัยด้านความปลอดภัยในการประนีประนอมระบบนิเวศที่ดูแลโดย Apple, Microsoft และ PayPal เมื่อต้นปีนี้ อุตสาหกรรมประสบ การระบาดของโรคลมชัก คล้ายกับห่วงโซ่อุปทาน”Moshe Zioni รองประธานฝ่ายวิจัยด้านความปลอดภัยของ Apiiro กล่าว "เรากระตือรือร้นที่จะตอบสนองด้วยการสร้างชุดเครื่องมือที่สามารถบรรเทาภัยคุกคามที่คล้ายกันและมีความยืดหยุ่นและขยายได้มากพอที่จะต่อสู้กับการโจมตีที่สับสนในอนาคต การจัดการกับเวกเตอร์การโจมตีนี้เป็นสิ่งจำเป็นสำหรับองค์กรในการรักษาความปลอดภัยให้กับห่วงโซ่อุปทานซอฟต์แวร์ของตนได้สำเร็จ "