Комбобулятор залежностей є інструментарій з відкритим кодом для боротьби з атак заміщення плутанини / залежностей. Тобто ті атаки, які використовують переваги публічного або приватного сховища програмних проектів, щоб заплутати менеджера пакетів і перекрити пакети, які, як імовірно, є залежними, але спрямовані на здійснення певного типу атаки.
Apiiro запустив Dependency Combobulator саме для того, щоб мати можливість боротися з цим. Інструментарій, здатний виявляти та запобігати цим атакам. Ці атаки були виявлені лише нещодавно, і сьогодні вони стали вектором атаки. Іншими словами, за допомогою цього комплекту ви зможете уникнути такого типу обману залежностей, який закінчується шкідливими пакетами (замість встановлення правильної залежності, яку слід встановити для програмного забезпечення, яке встановлює менеджер пакетів).
У цих випадках користувачі не знають, вони довіряють менеджеру пакетів, який автоматизує роботу залежності. Однак вони авторизували б шкідливий код, не знаючи про це. Ось де Dependency Combobulator стає цікавим, щоб оцінити різні джерела, такі як GitHub, JFrog Artifactory тощо.
Цей інструмент розроблено на мові програмування Python і використовує a евристичний двигун який працює на абстрактній моделі пакета, забезпечуючи легке розширення. Окрім гнучкості, це також може спонукати спеціалістів із безпеки приймати кращі рішення. Його можна легко інтегрувати, і він запускається автоматично.
"Після рішення дослідника безпеки Алекса Бірсана на початку цього року скомпрометувати екосистеми, які підтримують Apple, Microsoft і PayPal, галузь зазнала спалах судом схожий на ланцюг поставок», - сказав Моше Ціоні, віце-президент Apiiro з досліджень безпеки. "Ми були готові відповісти, створивши набір інструментів, які можуть пом’якшити подібні загрози та бути достатньо гнучкими та розширюваними, щоб боротися з майбутніми хвилями атак із плутаниною залежностей. Боротьба з цим вектором атаки є важливою для організацій, щоб успішно захистити свої ланцюги постачання програмного забезпечення. ".