Bumblebee: сканер с открытым исходным кодом для «замусоренных» компьютеров разработчиков
BBetter Stack
Computing/SoftwareManagementInternet Technology
Transcript
00:00:00Знаете, что больше всего раздражает в атаках на цепочки поставок? К тому моменту, когда все начинают паниковать,
00:00:04вопрос уже не в том, безопасна ли рабочая среда, а в том, установил ли кто-то эту штуку локально?
00:00:09Это Bumblebee. Новый инструмент с открытым исходным кодом от Perplexity, который сканирует вашу рабочую станцию
00:00:15на наличие пакетов, расширений и конфигураций MCP, не запуская при этом пакетные менеджеры или
00:00:21код проекта. Так что вместо ручного поиска вы получаете локальную инвентаризацию за считанные секунды.
00:00:26Я запущу его прямо сейчас в прямом эфире. А потом обсудим, где он действительно работает, а где нет.
00:00:36Раньше модель была простой. Сканируй репозиторий, сканируй контейнер, сканируй продакшн.
00:00:41Но многие из нас сегодня работают иначе. На одном ноутбуке могут быть пакетные менеджеры,
00:00:46расширения браузера, расширения редактора, инструменты ИИ для кодинга, локальные агенты — всё это вместе.
00:00:53Это огромный уровень доверия, сконцентрированный в одной машине. Perplexity создала Bumblebee
00:00:58именно для этой цели и выложила его в открытый доступ всего пару дней назад. Bumblebee — это бинарный сканер
00:01:05в режиме только для чтения, который составляет опись пакетов, расширений редактора, расширений браузера и ИИ-инструментов из локальных
00:01:11метаданных. Никаких npm ls, никаких pip show, никакого выполнения случайного кода проекта, только метаданные. Давайте запустим его.
00:01:19Если вам нравятся инструменты для кодинга, ускоряющие ваш рабочий процесс, обязательно подпишитесь. Мы постоянно выпускаем новые видео.
00:01:24Итак, приступим. Сначала нужно установить его с помощью “go install” из GitHub.
00:01:29Это даст нам единый исполняемый файл Go, без демонов или сервисов. Теперь запустим самопроверку. Всё, что мне нужно
00:01:37сделать — это запустить “Bumblebee self test”. И, надеюсь, мы получим ответ. Окей. Хорошо. Сканер может
00:01:46правильно обнаружить свои известные тестовые данные. Это именно то, что сделал тест. Теперь запустим базовое сканирование.
00:01:52Всё, что мы сделаем — это “Bumblebee scan profile”. Мы укажем “baseline” и добавим
00:01:57наш файл nd.json. Это сканирование, которое мы используем для обычной инвентаризации рабочих станций разработчиков. Оно проверяет общие,
00:02:05глобальные и пользовательские пути к пакетам, расширения редакторов, расширения браузеров и поддерживаемые MCP
00:02:10конфигурации. А теперь взглянем на вывод. Я использую команду head. И это самое важное, что делает Bumblebee.
00:02:17Каждая строка — это структурированная запись. Мы получаем обратно данные: экосистему, имя пакета,
00:02:25версию, исходный файл, уровень достоверности, метаданные и место, где Bumblebee его нашел. Итак,
00:02:31вместо того чтобы спрашивать “есть ли у меня это где-то в системе?”, мы можем увидеть это
00:02:36прямо здесь. И поскольку это разбор метаданных только для чтения, Bumblebee не вызывает NPM. Он не
00:02:43импортирует никакие пакеты Python и не собирает ваш проект на Go. Всё, что он делает — читает
00:02:50файлы. Вот почему это полезно во время инцидента. Если у вас установлен Go, это тот
00:02:55момент, когда я бы, возможно, поставил видео на паузу и попробовал запустить это на своей машине. Это очень просто.
00:03:00Окей, круто. Но почему это не просто еще один сканер безопасности? Ведь они у нас уже есть. Но,
00:03:06на первый взгляд можно подумать, что это еще один инструмент SCA. Но на самом деле это не так.
00:03:12SCA-инструменты в основном следят за зависимостями вашего приложения. SBOM-инструменты — за тем, что вы выпустили.
00:03:19EDR следят за тем, что вы запустили. Bumblebee следит за состоянием локальной среды разработчика. Представьте, что
00:03:26выходит предупреждение о скомпрометированном пакете. Вам нужно знать, какие ноутбуки могут быть под угрозой.
00:03:32Очевидный шаг — попросить всех запустить команды пакетного менеджера, но это худшее, что можно сделать. Если мы
00:03:38ищем что-то вредоносное, вы же не хотите, чтобы ваша команда случайно активировала вредоносное
00:03:42поведение. Поэтому Bumblebee работает просто: читает метаданные, формирует инвентарь, ищет известные угрозы,
00:03:49и завершает работу. Всё. У него есть три профиля сканирования. Первый — “baseline”. Это ваше
00:03:55легкое регулярное сканирование. Оно смотрит на глобальные пакеты, пользовательские наборы инструментов, расширения,
00:04:02конфигурации MCP. В основном то, что обычно находится на машине разработчика. Именно на этот вопрос
00:04:09он и отвечает. Затем идет проектное сканирование. Это для известных рабочих
00:04:14директорий, таких как code, source или work. Используйте его, когда вас интересуют заблокированные файлы в
00:04:20реальных папках разработки. И мы можем заставить его копать глубже. Это режим реагирования на инциденты.
00:04:26Вы направляете его на конкретные маршруты, даже на что-то широкое, например, домашнюю папку, обычно с каталогом угроз и
00:04:32лимитом по времени. Ваш обычный рабочий процесс может выглядеть так: Bumblebee scan profile baseline. Окей. Когда что-то плохое
00:04:38происходит, вы переключаетесь на более глубокое сканирование: Bumblebee scan profile, вы можете использовать эту команду прямо
00:04:44здесь. Это и есть процесс: baseline, когда всё спокойно, глубокое сканирование, когда есть задымление.
00:04:51А охват — это то, что делает его действительно интересным. Bumblebee может просматривать npm, pnpm, yarn, bun,
00:04:58модули Go, вы называете это. Плюс он может просматривать поддерживаемые JSON-конфигурации MCP. Это важная функция, потому что
00:05:06сейчас MCP-конфигурации становятся новыми ENV-файлами. Они повсюду в наших системах. Bumblebee также
00:05:13выводит NDJSON. Некоторые возненавидят это. Но другой способ взглянуть на это —
00:05:18это значит, что вы можете передать его в JQ, сохранить в файл, собрать через MDM, загрузить в SIEM,
00:05:25или передать другому агентному рабочему процессу. Он просто пытается быть скучной, скриптуемой инфраструктурой. И для такого
00:05:32рода проблем скучное — это, вероятно, лучший вариант. Он быстрый. Очень быстрый. Это единый исполняемый файл Go
00:05:38без нестандартных зависимостей библиотек. Это очень дружелюбная для разработчиков отправная точка. Это
00:05:45значит, что он безопасен по дизайну. Подход “только для чтения” — это не мелочь. Во время инцидента в цепочке поставок
00:05:51просто запустить пакетный менеджер и посмотреть, что будет — не всегда лучший план. Если пакет, на который вы
00:05:58смотрите, имеет вредоносные скрипты или странное поведение плагинов, вы же не хотите, чтобы ваш сканер стал
00:06:03тем, кто случайно это активирует. Кроме того, это заполняет реальный пробел. У большинства команд есть некоторая видимость
00:06:10в CI, некоторая видимость в продакшн-контейнерах и некоторая видимость на конечных точках. Но рабочая станция разработчика может
00:06:17быть грязной. В ней есть недоделанные проекты, старые клоны, глобальные пакеты, тестовые виртуальные окружения,
00:06:23ИИ-инструменты, всё то, что никогда не попадает в ваш чистый официальный инвентарь. Bumblebee дает вам
00:06:30практический способ увидеть это локальное состояние. И наконец, охват конфигураций ИИ пришелся как раз вовремя. Локальные
00:06:36агенты, серверы MCP и рабочие процессы вызова инструментов развиваются быстро. Но имейте в виду, пока вы
00:06:43собираетесь использовать Bumblebee: это совсем новое. Я говорю о том, что он только что вышел. Поэтому
00:06:49ожидайте изменений. Сейчас он сфокусирован на Mac OS и Linux. Поток каталога угроз приятный, но он
00:06:54также означает, что Bumblebee становится намного полезнее, когда у вас есть хорошие данные об уязвимостях. И это не EDR, верно?
00:07:02Он отвечает на более узкий вопрос: какие пакеты, расширения и конфигурации инструментов разработки присутствуют на этой
00:07:09машине. И соответствует ли что-то из этого тому, что мы уже знаем как плохое. В этом вся суть. Он не заменяет
00:07:14вашу систему безопасности. Он заполняет ту часть, которую ваша система безопасности, вероятно, не видит четко. Поэтому
00:07:19стоит ли вам использовать Bumblebee? Мой ответ — да, особенно если ваша ежедневная работа
00:07:24связана с NPM, Go, VS Code, Cursor, Claude, серверами и тому подобным. Запускайте базовое сканирование раз в неделю,
00:07:32хорошо? Это одна единственная команда: “Bumblebee scan profile”, и он сделает то, что я вам показал.
00:07:37Теперь у вас есть снимок того, что находится на вашей машине. Сохраняйте NDJSON где-то в центре.
00:07:43Затем, когда произойдет инцидент, вы сможете искать по всему, вместо того чтобы спрашивать в Slack,
00:07:49эй, есть ли у кого-нибудь это? Bumblebee говорит вам, что именно раскрывают машины разработчиков через локальные
00:07:55метаданные пакетов, манифесты расширений и поддерживаемые конфигурации ИИ-инструментов. Это чрезвычайно полезно в первый
00:08:02час, когда что-то идет не так, потому что никто не хочет спорить. Они хотят знать, кто подвержен риску, где
00:08:08это находится и как быстро вы можете это доказать. И в этом плане Bumblebee довольно убедителен. Это довольно мощный
00:08:14инструмент с открытым исходным кодом, который мы только что получили. Если вам нравятся инструменты для кодинга и советы, обязательно подпишитесь на
00:08:18канал BetterStack.
00:08:20Увидимся в следующем видео.
Community Posts
No posts yet. Be the first to write about this video!
Write about this video