bumblebee - Scanner de vérification de l’exposition aux compromissions de la chaîne d’approvisionnement

xguru · 2026-06-25T09:29:35+09:00

Collecteur d’inventaire en lecture seule qui recueille les métadonnées des paquets/extensions/outils de développement sur les machines de développeurs Mac/Linux afin de permettre une vérification immédiate en cas de compromission de la chaîne d’approvisionnement Offre un angle de vue distinct sur les états locaux dispersés — tels que les lockfiles, les métadonnées des gestionnaires de paquets ou les manifestes d’extensions — que SBOM (ce qui a été distribué) et EDR (ce qui a été exécuté) ne couvrent pas N’exécute pas les gestionnaires de paquets (npm ls, pip show, etc.) et ne lit pas non plus les fichiers source ; il analyse uniquement les métadonnées pour effectuer des vérifications sans effet de bord Convertit les états disque dispersés en enregistrements NDJSON structurés et, lorsqu’un catalogue d’exposition est fourni, marque les correspondances exactes (ecosystem, name, version) comme des enregistrements de finding Propose trois profils baseline : racines globales/utilisateur des paquets, toolchain, extensions d’éditeur/navigateur, cibles de configuration MCP project : répertoires de développement comme ~/code, ~/src, ~/work, etc. deep : cibles --root explicites, y compris $HOME Offre une large couverture des écosystèmes : prise en charge de npm/pnpm/Yarn/Bun, PyPI, modules Go, RubyGems, Composer, Homebrew, ainsi que des extensions d’éditeur/navigateur Vérifie aussi les configurations d’hôte MCP et les Agent skills Binaire statique unique implémenté en Go, sans dépendance autre que la bibliothèque standard Licence Apache-2.0

(github.com/perplexityai)

4 points par xguru 3 시간 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp

Collecteur d’inventaire en lecture seule qui recueille les métadonnées des paquets/extensions/outils de développement sur les machines de développeurs Mac/Linux afin de permettre une vérification immédiate en cas de compromission de la chaîne d’approvisionnement
Offre un angle de vue distinct sur les états locaux dispersés — tels que les lockfiles, les métadonnées des gestionnaires de paquets ou les manifestes d’extensions — que SBOM (ce qui a été distribué) et EDR (ce qui a été exécuté) ne couvrent pas
N’exécute pas les gestionnaires de paquets (npm ls, pip show, etc.) et ne lit pas non plus les fichiers source ; il analyse uniquement les métadonnées pour effectuer des vérifications sans effet de bord
Convertit les états disque dispersés en enregistrements NDJSON structurés et, lorsqu’un catalogue d’exposition est fourni, marque les correspondances exactes (ecosystem, name, version) comme des enregistrements de finding
Propose trois profils
- baseline : racines globales/utilisateur des paquets, toolchain, extensions d’éditeur/navigateur, cibles de configuration MCP
- project : répertoires de développement comme ~/code, ~/src, ~/work, etc.
- deep : cibles --root explicites, y compris $HOME
Offre une large couverture des écosystèmes : prise en charge de npm/pnpm/Yarn/Bun, PyPI, modules Go, RubyGems, Composer, Homebrew, ainsi que des extensions d’éditeur/navigateur
Vérifie aussi les configurations d’hôte MCP et les Agent skills
Binaire statique unique implémenté en Go, sans dépendance autre que la bibliothèque standard
Licence Apache-2.0

bumblebee - Scanner de vérification de l’exposition aux compromissions de la chaîne d’approvisionnement

À lire aussi

Aucun commentaire pour le moment.