Apiiro 是应用/代码风险管理平台,近日他们发布了一个模块化并且可扩展的开源框架 —— Dependency Combobulator,用于检测和防止依赖混淆泄漏与潜在的攻击。
如今一个项目是否安全不仅仅取决于开发者自身所编写的代码,还需要综合考虑项目的供应链以及所采用的一系列依赖项是否也安全。通过欺骗终端用户、开发人员和自动化系统来安装恶意的依赖项,而不是他们想要安装的正确依赖项,会导致所使用的软件受到不同程度的影响或损害。
Dependency Combobulator 能够在依赖混淆这类风险近些年一直处于增长势态的情况下进行防范,依赖混淆也是针对软件包内的依赖性进行供应链攻击的一个关键载体。Apiiro 表示,这个新的解决方案是确保软件开发生命周期安全的一个关键因素,以防止遭受直接攻击和供应链攻击。
该框架具备的主要特点包括:
- 可扩展 —— 轻松添加开发者自己的软件包管理方案或选择的代码源
- 通用的启发式引擎 —— 一个抽象的包数据模型提供了启发式方法
- 可插入 —— 在 SDLC 中插入提交级别、构建、发布步骤。
- 支持广泛的技术
- 灵活 —— 可以根据 工具 包提供的洞察或判决来确定决策
从可扩展性而言,Dependency Combobulator 支持 npm 和 maven 的软件包管理计划,并能轻松扩展至其他软件包管理系统。通过更好的可扩展性,使企业能够快速适应新类型的依赖攻击。
该框架可由安全审计员、渗透测试人员使用,甚至可以以自动化的方式嵌入企业的应用安全程序和发布周期。
Dependency Combobulator 基于 Python 开发,并采用 Apache-2.0 许可协议。目前该项目已托管至 GitHub 平台,开发者可访问页面查看示例和安装方法等更多内容。
猜你喜欢:暂无回复。