Dependency Combobulator: bộ công cụ mã nguồn mở chống lại các cuộc tấn công

Isaac

Phút 1

Máy kết hợp phụ thuộc

Máy kết hợp phụ thuộc là một bộ công cụ mã nguồn mở để chống lại các cuộc tấn công thay thế sự nhầm lẫn / phụ thuộc. Đó là, những cuộc tấn công lợi dụng kho lưu trữ công khai hoặc riêng tư của các dự án phần mềm để gây nhầm lẫn cho trình quản lý gói và đánh cắp các gói được cho là phụ thuộc nhưng nhằm thực hiện một số kiểu tấn công.

Apiiro tung ra Dependency Combobulator một cách chính xác để có thể chống lại điều này. Một bộ công cụ có khả năng phát hiện và ngăn chặn các cuộc tấn công này. Những cuộc tấn công này chỉ mới được phát hiện gần đây và ngày nay đã phát triển như một vectơ tấn công. Nói cách khác, với bộ công cụ này, bạn sẽ có thể tránh được kiểu thủ thuật phụ thuộc này mà kết quả là các gói độc hại (thay vì cài đặt đúng phụ thuộc cần được cài đặt cho phần mềm mà trình quản lý gói đang cài đặt).

Trong những trường hợp này, người dùng không biết, họ tin tưởng trình quản lý gói là trình quản lý gói tự động hóa công việc của sự phụ thuộc. Tuy nhiên, họ sẽ cho phép mã độc hại mà không biết. Đó là nơi Dependency Combobulator trở nên thú vị, để đánh giá các nguồn khác nhau như GitHub, JFrog Artifactory, v.v.

Công cụ này được phát triển bằng ngôn ngữ lập trình Python và sử dụng động cơ heuristic hoạt động trên một mô hình gói trừu tượng, cung cấp khả năng mở rộng dễ dàng. Ngoài tính linh hoạt, nó cũng có thể khiến các chuyên gia bảo mật đưa ra quyết định tốt hơn. Nó có thể được tích hợp dễ dàng và khởi chạy tự động.

"Sau quyết định của nhà nghiên cứu bảo mật Alex Birsan trong việc xâm phạm các hệ sinh thái được duy trì bởi Apple, Microsoft và PayPal vào đầu năm nay, ngành công nghiệp đã trải qua bùng phát cơn động kinh tương tự như chuỗi cung ứng”Moshe Zioni, phó chủ tịch nghiên cứu bảo mật của Apiiro cho biết. "Chúng tôi rất mong muốn phản hồi bằng cách tạo ra một bộ công cụ có thể giảm thiểu các mối đe dọa tương tự và đủ linh hoạt và có thể mở rộng để chống lại làn sóng tấn công nhầm lẫn phụ thuộc trong tương lai. Giải quyết vectơ tấn công này là điều cần thiết để các tổ chức bảo vệ thành công chuỗi cung ứng phần mềm của họ. ".


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: AB Internet Networks 2008 SL
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.