Bağımlılık Birleştirici bir akreditasyonu uluslararası tanınırlık sağlayan açık kaynak araç seti karışıklık / bağımlılık ikame saldırılarıyla mücadele etmek. Yani, paket yöneticisinin kafasını karıştırmak için genel veya özel yazılım projeleri havuzundan yararlanan ve bağımlılık olduğu varsayılan ancak bir tür saldırı gerçekleştirmeyi amaçlayan gizli paketleri kullanan saldırılar.
Apiiro, tam olarak bununla mücadele edebilmek için Dependency Combobulator'ı başlattı. yapabilen bir araç takımı Bu saldırıları tespit edin ve önleyin. Bu saldırılar daha yeni keşfedildi ve günümüzde bir saldırı vektörü olarak büyüdü. Başka bir deyişle, bu kit ile kötü niyetli paketler haline gelen bu tür bağımlılık aldatmacalarından kaçınabileceksiniz (paket yöneticisinin yüklediği yazılım için yüklenmesi gereken doğru bağımlılığı yüklemek yerine).
Bu durumlarda, kullanıcılar farkında değiller, işini otomatikleştiren paket yöneticisine güveniyorlar. bağımlılıklar. Ancak, bilmeden kötü amaçlı koda yetki veriyor olacaklardır. GitHub, JFrog Artifactory, vb. gibi farklı kaynakları değerlendirmek için Dependency Combobulator'ın ilginçleştiği yer burasıdır.
Bu araç Python programlama dilinde geliştirilmiştir ve bir buluşsal motor soyut bir paket modeli üzerinde çalışan, kolay genişletilebilirlik sağlayan. Esnekliğe ek olarak, güvenlik uzmanlarının daha iyi kararlar almasına da yol açabilir. Kolayca entegre edilebilir ve otomatik olarak başlatılır.
"Güvenlik araştırmacısı Alex Birsan'ın bu yılın başlarında Apple, Microsoft ve PayPal tarafından sağlanan ekosistemleri tehlikeye atma kararının ardından sektör, nöbet salgını tedarik zincirine benzerApiiro'nun güvenlik araştırmalarından sorumlu başkan yardımcısı Moshe Zioni dedi. "Benzer tehditleri azaltabilecek ve gelecekteki bağımlılık karışıklığı saldırı dalgalarıyla mücadele etmek için yeterince esnek ve genişletilebilir bir araç takımı oluşturarak yanıt vermeye istekliydik. Bu saldırı vektörünün ele alınması, kuruluşların yazılım tedarik zincirlerini başarılı bir şekilde güvence altına almaları için çok önemlidir. ".