Dependency Combobulator 是一个开源的、模块化的、可扩展的框架,用于检测和防止依赖混淆的泄漏和潜在的攻击。这有利于采用整体方法来确保安全的应用程序发布,可以针对不同的来源(如 GitHub 包、JFrog Artifactory)和不同的包管理方案(如 ndm、maven)进行评估。
目标受众
该框架可供安全审计员、渗透测试员使用,甚至可以自动融入企业的应用安全程序和发布周期。
主要特点
- 可插入 —— 在 SDLC 中插入提交级别、构建、发布步骤。
- 可扩展 —— 轻松添加您自己的包管理方案或选择的代码源
- 通用启发式引擎 —— 抽象包数据模型提供的启发式方法
- 支持广泛的技术
- 灵活 —— 可以根据工具包提供的洞察或判决来确定决策
安装
Dependency Combobulator 只需git clone或从 https://github.com/apiiro/combobulator 下载包
参数 (--help)
-h, --help show this help message and exit
-t {npm,NuGet,maven}, --type {npm,NuGet,maven}
Package Manager Type, i.e: npm, NuGet, maven
-l LIST_FROM_FILE, --load_list LIST_FROM_FILE
Load list of dependencies from a file
-d FROM_SRC, --directory FROM_SRC
Extract dependencies from local source repository
-p--package SINGLE Name a single package.
-c CSV, --csv CSV Export packages properties onto CSV file
-gh GITHUB_TOKEN, --github GITHUB_TOKEN
GitHub Access Token (Overrides .env file setting)
-a {compare,comp,heuristics,heur}, --analysis {compare,comp,heuristics,heur}
Required analysis level - compare (comp), heuristics
(heur) (default: compare)
Apiiro Community
支持的包类型(-t、--t):npm、maven
支持的输出格式:
- 屏幕标准输出(默认)
- CSV 导出到指定文件
