供应链管理|Apiiro 开源模块化框架,防止依赖混淆攻击
出品|开源中国
作者|Travis
Apiiro 是应用/代码风险管理平台 , 近日他们发布了一个模块化并且可扩展的开源框架 —— Dependency Combobulator , 用于检测和防止依赖混淆泄漏与潜在的攻击 。
如今一个项目是否安全不仅仅取决于开发者自身所编写的代码 , 还需要综合考虑项目的供应链以及所采用的一系列依赖项是否也安全 。 通过欺骗终端用户、开发人员和自动化系统来安装恶意的依赖项 , 而不是他们想要安装的正确依赖项 , 会导致所使用的软件受到不同程度的影响或损害 。
Dependency Combobulator 能够在依赖混淆这类风险近些年一直处于增长势态的情况下进行防范 , 依赖混淆也是针对软件包内的依赖性进行供应链攻击的一个关键载体 。 Apiiro 表示 , 这个新的解决方案是确保软件开发生命周期安全的一个关键因素 , 以防止遭受直接攻击和供应链攻击 。
该框架具备的主要特点包括:
- 可扩展 —— 轻松添加开发者自己的软件包管理方案或选择的代码源
- 通用的启发式引擎 —— 一个抽象的包数据模型提供了启发式方法
- 可插入 —— 在 SDLC 中插入提交级别、构建、发布步骤 。
- 支持广泛的技术
- 灵活 —— 可以根据工具包提供的洞察或判决来确定决策
该框架可由安全审计员、渗透测试人员使用 , 甚至可以以自动化的方式嵌入企业的应用安全程序和发布周期 。
【供应链管理|Apiiro 开源模块化框架,防止依赖混淆攻击】Dependency Combobulator 基于 Python 开发 , 并采用 Apache-2.0 许可协议 。 目前该项目已托管至 GitHub 平台 , 开发者可访问页面查看示例和安装方法等更多内容 。
- 36氪5G创新日报0112|福建省首个“5G+VR”英模会客厅正式上线;齐鲁医院健康管理中心“5G+ 5g
- TiDB 高级系统管理笔记:sql优化
- 管理|浪潮云海OS蝉联GlobalData最高“Leader”评级
- 董明珠|向任正非学习,格力推行狼性管理,董明珠:违反制度的元老也得走
- 徐汇区应急管理局搬迁啦!
- 非核心|苹果供应链利润分配:中国供应链赚最少的钱,干最累的活
- kpi|如何利用OKR管理提升企业绩效?
- 产品|定位一站式货品与供应链服务商,「CJDropshipping」开拓国内一件代发服务
- 管理|《共赢增值表蓝皮书》正式出版:物联网时代管理会计的中国智慧
- 上海金山吕巷粮油管理所有限公司两名干部接受纪律审查和监察调查