Перплексити запускает Bumblebee: Как новый сканер разработчиков только для чтения отличается от Chainguard.

Основные выводы

• Perplexity Bumblebee — это программа обеспечения безопасности для разработчиков с открытым исходным кодом.
• Bumblebee не требует AI или подписки.
• Программа нацелена на обнаружение проблем на ноутбуках программистов.

Перед взломом: вызовы для программистов

Если вы программист, вы знаете, что произошло много успешных атак на цепочку поставок программного обеспечения. К ним относятся:

• Компрометация пакета Axios npm
• Атака на PyPI LiteLLM AI
• Атака CanisterSprawl npm

Что же делать, когда нельзя доверять основным блокам вашего программного обеспечения? Перплексити предлагает решение.

Что такое Bumblebee?

Bumblebee — это «только для чтения» сканер, который используется для проверки машин разработчиков на наличие рискованных пакетов, расширений и конфигураций AI инструментов во время инцидентов цепочки поставок. Программа доступна для MacOS и Linux и является открытым проектом на языке Go.

Цели и возможности Bumblebee

Bumblebee фокусируется на четырех конкретных областях:

• Менеджеры пакетов: npm, pnpm, Yarn, Bun, PyPI, Go модули, RubyGems, Composer
• Конфигурации AI-агентов: Model Context Protocol (MCP)
• Расширения редакторов: VS Code и его варианты (Cursor, Windsurf, VSCodium)
• Расширения браузеров: Chromium (Chrome, Comet, Edge, Brave, Arc) и Firefox

Интеграция Bumblebee в рабочий процесс

Bumblebee интегрируется в больший внутренний процесс, который включает несколько шагов:

1. Определение сигнала угрозы через публичные раскрытия, третьи стороны или внутренние исследования.
2. Создание обновления каталога Perplexity Computer и открытие запроса на GitHub.
3. Проверка сигнала на людях и слияние PR.
4. Запуск Bumblebee с обновленным каталогом.
5. Проверка находок с командой безопасности.

Использование каталогов Bumblebee

Вы можете использовать открытый каталог Bumblebee на GitHub. Он содержит каталоги на основе публичной информации о недавних атак.

Также вы можете создать собственный каталог в виде простого JSON файла, указывая компоненты, которые вас интересуют.

Профили сканирования

• Базовый профиль: Рутинное сканирование стандартных мест на ноутбуке.
• Проектный профиль: Целевая проверка конкретных репозиториев или рабочих пространств.
• Глубокий профиль: Ответ на активные инциденты.

Обеспечение безопасности Bumblebee

Bumblebee подчеркивает «только для чтения» как важное свойство безопасности. Он не запускает потенциально небезопасные инструменты и не считывает исходные файлы приложений.

Компания заявляет, что программа:

• никогда не запускает скрипты установки или жизненные циклы;
• не использует менеджеры пакетов;
• исключительно считывает метаданные, такие как lockfiles и манифесты.

Сравнение с Chainguard

Bumblebee находится на шаг раньше в жизни приложения и ближе к разработчикам, в отличие от Chainguard, который сосредоточен на контейнерах и выводах сборки.

Для разработчиков Bumblebee предоставляет возможность проверки текущих установленных пакетов и расширений на уязвимости:

• Chainguard фокусируется на базовых образах и политике;
• Bumblebee используется вашей командой безопасности на вашем ноутбуке.

Заключение

Bumblebee — это полезный инструмент для разработчиков, обеспечивающий безопасность их рабочего процесса. Он бесплатен и с открытым исходным кодом под лицензией Apache 2.0, что делает его доступным для широкой аудитории.