Apiiroは、依存関係の混乱攻撃を検出して防止するためのモジュール式で拡張可能なオープンソースツールキットであるDependencyCombobulatorをリリースしました。

依存関係コンボビュレーター

GitHubで利用可能なツールキットを使用すると、組織は、ソフトウェアパッケージ内の依存関係を標的とするサプライチェーン攻撃の主要なベクトルとして今年増加している、この新たに発見されたタイプのリスクから保護することができます。

依存関係の混乱は、エンドユーザー、開発者、自動化システムをだまして、インストールしようとした正しい依存関係ではなく悪意のある依存関係をインストールさせ、ソフトウェアの侵害を引き起こすことで、オープンソースソフトウェアエコシステムを危険にさらします。

Dependency Combobulatorを使用すると、GitHubパッケージなどのさまざまなソースに対して評価でき、JFrogArtifactoryなどの追加のレジストリを検討するように拡張できるリリースワークフローを分析および自動化できます。

ツールキットはPythonベースのツールキットであり、npmとmavenの両方のパッケージ管理スキームをすぐにサポートし、他のパッケージ管理システムへの拡張を可能にします。これは、組織が新しいタイプの依存関係攻撃に適応できるようにする拡張性を提供します。

抽象パッケージモデルで動作するヒューリスティックエンジンを使用し、個々のパッケージに関する追加の洞察を可能にする簡単な拡張性を提供します。この深さと柔軟性により、アプリケーションセキュリティの実践者と侵入テスターに​​よる意思決定が向上します。

Dependency Combobulatorはプラグイン可能であり、自動化された方法で企業のアプリケーションセキュリティプログラムとリリースサイクルに組み込むことができます。エンタープライズソフトウェア開発ライフサイクル内のいくつかのインタラクションジャンクションにプラグインして、複数のユースケースに適合する実用的な洞察を提供し、依存関係の攻撃が進展するにつれて追加のユースケースをサポートするように拡張できます。

「セキュリティ研究者のAlexBirsanが、今年初めにApple、Microsoft、PayPalによって維持されているエコシステムを侵害しようとした結果、業界は同様のサプライチェーン攻撃の発生を経験しました」とApiiroのセキュリティ研究担当副社長であるMosheZioniは述べています。「私たちは、同様の脅威を軽減し、依存関係の混乱攻撃の将来の波に対抗するのに十分な柔軟性と拡張性を備えたツールキットを作成することで対応したいと考えていました。この攻撃ベクトルに対処することは、組織がソフトウェアサプライチェーンを正常に保護するために不可欠です。」

コメントをどうぞ