DepConfuse は、依存関係の混乱脆弱性を事前に検出するコマンドラインツールです。SBOMsまたはPURLをスキャンして、公開パッケージの乗っ取りの対象となる可能性のある内部パッケージ名を特定し、ソフトウェアサプライチェーンを保護するための実行可能な洞察を提供します。
機能
- SBOMファースト・アプローチ: CycloneDX SBOMsに基づいて構築されたDepConfuseは、複数のエコシステムにおける依存関係の混乱リスクを検出し、個々のパッケージマネージャーに限定されたツールよりも広範で精密なカバレッジを提供します。
- マルチレジストリサポート: 20以上のパッケージレジストリをサポートしています。npm、PyPI、Maven、NuGet、Docker Hub、Goモジュール、Ruby gemsなどをカバーしています。
- PURL分析: テキストファイルからパッケージURL (PURL) のリストを直接分析します。
- 柔軟な入力モード: CycloneDX SBOMs (–sbom) とプレーンPURLリスト (–file) の両方を受け入れます。
- Ecosystems.ms統合: 統合APIを介して、複数のエコシステムにわたってリアルタイムのネームスペース対応チェックを提供します。
インストール
- リポジトリをクローンします:
git clone https://github.com/th3-j0k3r/DepConfuse.git
- ディレクトリに移動します:
- 実行ファイルをビルドします:
go build -o depconfuse
使用方法
DepConfuseは2つのモードで使用できます:
./depconfuse –sbom /path/to/sbom.json –output results.txt
2. PURLファイル分析モード
./depconfuse –file /path/to/purls.txt –output results.txt
翻訳元: https://meterpreter.org/depconfuse-tool-detect-dependency-confusion-sbom-purl-analysis/
ソース: meterpreter.org
