Bumblebee: Pemindai Open-Source untuk Komputer Pengembang yang Berantakan
BBetter Stack
Computing/SoftwareManagementInternet Technology
Transcript
00:00:00Anda tahu apa yang menyebalkan tentang serangan rantai pasokan? Saat semua orang panik,
00:00:04pertanyaannya bukan, apakah produksinya aman? Tapi, apakah ada yang menginstal ini secara lokal?
00:00:09Ini adalah Bumblebee. Alat sumber terbuka baru dari Perplexity yang memindai mesin pengembangan Anda untuk
00:00:15paket, ekstensi, dan konfigurasi MCP tanpa menjalankan manajer paket atau mengeksekusi
00:00:21kode proyek. Jadi alih-alih mencarinya secara manual, Anda mendapatkan inventaris lokal dalam hitungan detik.
00:00:26Saya akan menjalankannya secara langsung. Kemudian kita akan membahas di mana alat ini benar-benar berfungsi dan di mana tidak.
00:00:36Dulu, modelnya sederhana. Pindai repositori, pindai kontainer, pindai produksi.
00:00:41Tapi bukan begitu cara banyak dari kita bekerja sekarang. Hari ini, satu laptop bisa memiliki manajer paket,
00:00:46ekstensi peramban, ekstensi editor, alat pengodean AI, agen lokal, semuanya hidup berdampingan.
00:00:53Itu adalah tingkat kepercayaan yang sangat besar dalam satu mesin. Perplexity membangun Bumblebee secara internal untuk alasan
00:00:58persis ini, kemudian menjadikannya sumber terbuka beberapa hari yang lalu. Bumblebee adalah pemindai biner tunggal baca-saja
00:01:05yang menginventarisasi paket, ekstensi editor, ekstensi peramban, dan alat AI dari metadata
00:01:11lokal. Tidak ada MPMLS, tidak ada pip show, tidak menjalankan kode proyek acak, hanya metadata. Mari kita coba menjalankannya.
00:01:19Jika Anda menyukai alat pengodean yang mempercepat alur kerja Anda, pastikan untuk berlangganan. Kami selalu merilis video
00:01:24setiap saat. Baiklah. Pertama, kita harus menginstal alat ini dengan go install dari GitHub.
00:01:29Itu memberi kita biner Go tunggal, tidak ada daemon, tidak ada layanan. Sekarang mari jalankan swauji. Yang harus saya
00:01:37lakukan hanyalah menjalankan Bumblebee self test. Dan semoga kita mendapatkan hasil swauji. Oke. Bagus. Pemindai dapat
00:01:46mendeteksi data perlengkapan yang diketahui dengan benar. Itulah yang dilakukan tes ini. Sekarang mari jalankan pemindaian dasar.
00:01:52Yang akan kita lakukan hanyalah menjalankan Bumblebee scan profile. Kita akan menyebutnya baseline dan kita akan memasukkan
00:01:57file nd.json kita. Ini adalah pemindaian yang kita gunakan untuk inventaris titik akhir pengembang reguler. Ini memeriksa jalur paket
00:02:05umum, global, dan tingkat pengguna, ekstensi editor, ekstensi peramban, dan konfigurasi MCP yang didukung.
00:02:10Sekarang mari lihat keluarannya. Saya akan menjalankan head di sini. Dan inilah hal besar yang dilakukan Bumblebee
00:02:17sekarang. Setiap baris adalah catatan terstruktur. Kita mendapatkannya kembali. Jadi Anda mendapatkan nama paket ekosistem,
00:02:25file sumber versi, tingkat kepercayaan, metadata, dan Anda mendapatkan tempat Bumblebee menemukannya. Jadi sekarang,
00:02:31alih-alih kita bertanya, apakah saya mungkin menginstal ini di suatu tempat di sistem? Kita sekarang bisa melihatnya
00:02:36di sini. Dan karena ini adalah penguraian metadata baca-saja, Bumblebee tidak memanggil NPM. Ia tidak
00:02:43mengimpor paket Python apa pun dan tidak membangun proyek Go Anda. Yang dilakukannya hanyalah membaca
00:02:50file. Dan itulah mengapa ini berguna selama insiden. Jika Anda telah menginstal Go, ini adalah
00:02:55titik di mana saya mungkin menjeda video, mungkin mencobanya di mesin Anda sendiri. Sangat mudah untuk dijalankan.
00:03:00Oke, keren. Tapi mengapa ini bukan sekadar pemindai keamanan lainnya? Karena kita sudah memilikinya. Sekarang,
00:03:06pada pandangan pertama, Anda mungkin berpikir beberapa hal. Ini alat SCA lain, tapi sebenarnya bukan itu
00:03:12tujuannya. Alat SCA sebagian besar tentang dependensi aplikasi Anda. Alat SBOM tentang apa yang Anda kirimkan.
00:03:19EDR tentang apa yang Anda eksekusi. Bumblebee tentang status pengembang lokal. Jadi bayangkan sebuah paket berbahaya
00:03:26muncul. Anda perlu tahu laptop mana yang mungkin terpapar. Langkah yang jelas
00:03:32adalah meminta semua orang menjalankan perintah manajer paket, tapi itu hal yang salah di sini. Jika kita
00:03:38mencari sesuatu yang berbahaya, Anda tidak ingin perintah Anda secara tidak sengaja mengeksekusi perilaku
00:03:42jahat tersebut. Jadi Bumblebee itu mudah. Baca metadata, keluarkan inventaris, cocokkan dengan paparan yang diketahui,
00:03:49lalu keluar. Selesai. Ia memiliki tiga profil pemindaian. Pertama adalah baseline. Ini adalah
00:03:55pemindaian rutin yang ringan. Ia melihat paket global, rantai alat tingkat pengguna, ekstensi,
00:04:02dan konfigurasi MCP. Pada dasarnya apa yang biasanya ada di mesin pengembang ini. Itulah pertanyaan yang
00:04:09diberikannya kepada kita. Ia menjawabnya. Kemudian beralih ke proyek. Ini untuk direktori ruang kerja yang
00:04:14diketahui seperti kode, sumber, atau kerja. Gunakan ini saat Anda peduli tentang file terkunci di
00:04:20folder pengembangan aktual. Dan kemudian kita bahkan bisa membuatnya lebih dalam. Ini adalah mode respons insiden.
00:04:26Anda mengarahkannya ke jalur eksplisit, bahkan sesuatu yang luas seperti home, biasanya dengan katalog paparan dan
00:04:32batas durasi. Jadi alur kerja normal Anda mungkin Bumblebee scan profile baseline. Oke. Ketika sesuatu yang buruk
00:04:38terjadi, Anda beralih ke pemindaian yang lebih dalam, Bumblebee scan profile, Anda bisa masuk lebih dalam dengan perintah ini
00:04:44tepat di sini. Itulah proses untuk semua ini, baseline saat tenang, pemindaian mendalam saat ada masalah.
00:04:51Dan cakupannya adalah apa yang membuat ini sangat menarik. Bumblebee bisa melihat di seluruh npm, pnpn, yarn, bun,
00:04:58modul Go, sebut saja. Ditambah ia bisa melihat konfigurasi MCP JSON yang didukung. Itu adalah fitur utama karena
00:05:06saat ini, konfigurasi MCP menjadi file ENV baru. Kita memilikinya di seluruh sistem kita. Bumblebee juga
00:05:13mengeluarkan NDJSON. Sekarang, beberapa orang akan membencinya. Tapi cara lain untuk melihatnya adalah,
00:05:18itu berarti Anda bisa menyalurkannya ke JQ, mengirimnya ke file, mengumpulkannya melalui MDM, memasukkannya ke SEIM,
00:05:25atau memberikannya ke alur kerja agen lainnya. Ia hanya mencoba menjadi infrastruktur yang membosankan dan dapat diprogram. Dan untuk
00:05:32masalah semacam ini, membosankan mungkin yang terbaik. Sekarang cepat. Sangat cepat. Ini biner Go tunggal
00:05:38dengan nol dependensi perpustakaan nonstandar. Itu adalah titik awal yang sangat ramah bagi pengembang. Itu
00:05:45berarti aman secara desain. Pendekatan baca-saja bukan detail kecil. Selama insiden rantai pasokan,
00:05:51jalankan saja manajer paket dan lihat apa yang terjadi. Itu tidak selalu rencana terbaik. Jika paket yang
00:05:58sedang Anda lihat memiliki skrip gaya hidup berbahaya atau perilaku plugin aneh, Anda tidak ingin pemindai Anda menjadi
00:06:03hal yang secara tidak sengaja memicunya. Sekarang, ini juga mengisi kesenjangan nyata. Kebanyakan tim memiliki visibilitas
00:06:10ke CI, beberapa visibilitas ke produksi kontainer, dan beberapa visibilitas titik akhir. Tapi mesin pengembangan bisa
00:06:17menjadi berantakan. Ia memiliki proyek yang setengah jadi, klon lama, paket global, lingkungan virtual tes,
00:06:23alat AI, semua hal yang tidak pernah muncul di inventaris resmi Anda yang bersih. Bumblebee memberi Anda
00:06:30cara praktis untuk melihat status lokal tersebut. Dan akhirnya, cakupan konfigurasi AI tepat waktu. Agen lokal,
00:06:36server MPC, dan alur kerja pemanggilan alat bergerak cepat. Tapi ingat ini sekarang juga, saat Anda
00:06:43akan menggunakan Bumblebee. Ini benar-benar baru. Seperti yang saya bicarakan sangat, sangat baru karena baru saja dirilis. Jadi
00:06:49harapkan perubahan. Ia fokus pada Mac OS dan Linux sekarang. Alur katalog paparan bagus, tapi itu
00:06:54juga berarti Bumblebee menjadi jauh lebih berguna ketika Anda memiliki data penasihat yang baik. Dan ini bukan EDR, kan?
00:07:02Ia menjawab pertanyaan yang lebih sempit. Paket, ekstensi, dan konfigurasi alat pengembangan apa yang ada di
00:07:09mesin ini. Dan apakah ada yang cocok dengan sesuatu yang sudah kita ketahui buruk. Itulah intinya. Ini bukan menggantikan
00:07:14tumpukan keamanan Anda. Ia mengisi bagian yang mungkin tidak dilihat oleh tumpukan keamanan Anda dengan jelas. Jadi
00:07:19haruskah Anda benar-benar menggunakan Bumblebee? Jawaban saya adalah ya, terutama pekerjaan sehari-hari Anda,
00:07:24menyentuh NPM, Go, VS Code, cursor, Claude, server, hal-hal semacam itu. Jalankan pemindaian dasar seminggu sekali,
00:07:32kan? Ini satu perintah tunggal. Bumblebee scan your profile, dan itu akan melakukan apa yang saya tunjukkan di sini.
00:07:37Sekarang Anda memiliki potret tentang apa yang ada di mesin Anda. Buang NDJSON ke suatu tempat yang terpusat.
00:07:43Kemudian ketika insiden terjadi, Anda dapat mencari di seluruh segalanya alih-alih bertanya kepada semua orang di Slack,
00:07:49hei, apakah ada yang punya ini? Bumblebee memberi tahu Anda apa yang saat ini dipaparkan mesin pengembangan melalui metadata paket lokal,
00:07:55manifes ekstensi, dan konfigurasi alat AI yang didukung. Itu sangat berguna dalam satu jam pertama
00:08:02ketika sesuatu tidak beres karena tidak ada yang ingin berdebat. Mereka ingin tahu siapa yang terpapar, di mana
00:08:08itu, dan seberapa cepat Anda bisa membuktikannya? Dan untuk itu, Bumblebee cukup menarik. Ini adalah alat sumber terbuka yang cukup kuat
00:08:14yang baru saja kita dapatkan. Jika Anda menikmati alat dan tips pengodean seperti ini, pastikan untuk berlangganan ke
00:08:18saluran BetterStack.
00:08:20Sampai jumpa di video lainnya.
Community Posts
No posts yet. Be the first to write about this video!
Write about this video