bumblebee - trình quét kiểm tra phơi nhiễm xâm phạm chuỗi cung ứng
(github.com/perplexityai)- Trình thu thập inventory chỉ đọc để thu thập metadata của gói/tiện ích mở rộng/công cụ phát triển trên máy của lập trình viên Mac/Linux, giúp xác minh ngay khi xảy ra xâm phạm chuỗi cung ứng
- Cung cấp một góc nhìn riêng để quan sát trạng thái cục bộ phân tán như lockfile/metadata của package manager/manifest tiện ích mở rộng — những phần mà SBOM (đã phát hành gì) và EDR (đã chạy gì) không trả lời được
- Không chạy package manager (
npm ls,pip showv.v. đều không thực thi) và cũng không đọc file mã nguồn; chỉ phân tích metadata để kiểm tra mà không gây tác dụng phụ - Chuyển đổi trạng thái đĩa phân tán thành các bản ghi NDJSON có cấu trúc, và nếu được cung cấp catalog phơi nhiễm thì các mục khớp chính xác
(ecosystem, name, version)sẽ được đánh dấu thành bản ghi finding - Cung cấp ba cấu hình
baseline: thư mục gốc gói toàn cục/người dùng, toolchain, tiện ích mở rộng editor/trình duyệt, đối tượng cấu hình MCPproject: các thư mục phát triển như~/code,~/src,~/workdeep: đối tượng--roottường minh bao gồm cả$HOME
- Cung cấp độ bao phủ hệ sinh thái rộng: hỗ trợ npm/pnpm/Yarn/Bun, PyPI, Go modules, RubyGems, Composer, Homebrew, cũng như tiện ích mở rộng editor/trình duyệt
- Cũng kiểm tra cấu hình host MCP và Agent skills
- Một binary tĩnh duy nhất được triển khai bằng Go, không có phụ thuộc ngoài thư viện chuẩn
- Giấy phép Apache-2.0
Chưa có bình luận nào.