依赖组合器 是 开源工具包 对抗混淆/依赖替换攻击。 也就是说,那些利用软件项目的公共或私有存储库来混淆包管理器和偷偷摸摸的包的攻击,这些包被认为是依赖项,但旨在执行某种类型的攻击。
Apiiro 推出了 Dependency Combobulator 正是为了能够解决这个问题。 一个工具包能够 检测并防止这些攻击. 这些攻击直到最近才被发现,并且在今天已经发展成为一种攻击媒介。 换句话说,使用此工具包,您将能够避免这种最终成为恶意包的依赖项骗局(而不是为包管理器正在安装的软件安装应该安装的正确依赖项)。
在这些情况下,用户不知道,他们信任包管理器,它是自动完成工作的包管理器 依存关系. 但是,他们会在不知情的情况下授权恶意代码。 这就是 Dependency Combobulator 变得有趣的地方,它可以评估不同的来源,如 GitHub、JFrog Artifactory 等。
这个工具是用 Python 编程语言开发的,并使用了 启发式引擎 它适用于抽象包模型,提供简单的可扩展性。 除了灵活性之外,它还可以引导安全专业人员做出更好的决策。 它可以轻松集成,并自动启动。
“今年早些时候,安全研究员 Alex Birsan 决定破坏 Apple、Microsoft 和 PayPal 维护的生态系统后,该行业经历了 癫痫发作 类似于供应链”Apiiro 安全研究副总裁 Moshe Zioni 说。 ”我们渴望通过创建一套工具来做出回应,这些工具可以减轻类似的威胁,并且足够灵活和可扩展,以应对未来的依赖混淆攻击浪潮。 解决此攻击向量对于组织成功保护其软件供应链至关重要。 «。