bumblebee - escáner para revisar exposición a compromisos de la cadena de suministro
(github.com/perplexityai)- Recolector de inventario de solo lectura que reúne metadatos de paquetes/extensiones/herramientas de desarrollo en máquinas de desarrollo Mac/Linux para verificar de inmediato cuando ocurre un compromiso de la cadena de suministro
- Ofrece una perspectiva separada para ver el estado local disperso que SBOM (qué se distribuyó) y EDR (qué se ejecutó) no pueden responder, como lockfiles, metadatos del gestor de paquetes y manifiestos de extensiones
- No ejecuta gestores de paquetes (no corre
npm ls,pip show, etc.) ni lee archivos fuente, y solo parsea metadatos, por lo que realiza la revisión sin efectos secundarios - Convierte el estado disperso del disco en registros NDJSON estructurados y, si se le proporciona un catálogo de exposición, marca las coincidencias exactas de
(ecosystem, name, version)como registros de hallazgos - Proporciona tres perfiles
baseline: raíces de paquetes globales/de usuario, toolchain, extensiones de editor/navegador y objetivos de configuración de MCPproject: directorios de desarrollo como~/code,~/src,~/work, etc.deep: objetivos explícitos de--root, incluyendo$HOME
- Ofrece amplia cobertura de ecosistemas: npm/pnpm/Yarn/Bun, PyPI, Go modules, RubyGems, Composer, Homebrew, y también extensiones de editores/navegadores
- También revisa la configuración del host MCP y las habilidades de Agent
- Binario estático único implementado en Go, sin dependencias fuera de la biblioteca estándar
- Licencia Apache-2.0
Aún no hay comentarios.