依賴組合器 是 開源工具包 對抗混淆/依賴替換攻擊。 也就是說,那些利用軟件項目的公共或私有存儲庫來混淆包管理器和偷偷摸摸的包的攻擊,這些包被認為是依賴項,但旨在執行某種類型的攻擊。
Apiiro 推出了 Dependency Combobulator 正是為了能夠解決這個問題。 一個工具包能夠 檢測並防止這些攻擊. 這些攻擊直到最近才被發現,並且在今天已經發展成為一種攻擊媒介。 換句話說,使用此工具包,您將能夠避免這種最終成為惡意包的依賴項騙局(而不是安裝應為包管理器正在安裝的軟件安裝的正確依賴項)。
在這些情況下,用戶不知道,他們信任包管理器,它是自動完成工作的包管理器 依存關係. 但是,他們會在不知情的情況下授權惡意代碼。 這就是 Dependency Combobulator 變得有趣的地方,它可以評估不同的來源,如 GitHub、JFrog Artifactory 等。
這個工具是用 Python 編程語言開發的,並使用了 啟發式引擎 它適用於抽象包模型,提供簡單的可擴展性。 除了靈活性之外,它還可以引導安全專業人員做出更好的決策。 它可以輕鬆集成,並自動啟動。
“今年早些時候,安全研究員 Alex Birsan 決定破壞 Apple、Microsoft 和 PayPal 維護的生態系統後,該行業經歷了 癲癇發作 類似於供應鏈”Apiiro 的安全研究副總裁 Moshe Zioni 說。 ”我們渴望通過創建一套工具來做出回應,這些工具可以減輕類似的威脅,並且足夠靈活和可擴展,以應對未來的依賴混淆攻擊浪潮。 解決此攻擊向量對於組織成功保護其軟件供應鏈至關重要。 “。