Transcript
00:00:00सप्लाई चेन हमलों के बारे में सबसे परेशान करने वाली बात क्या है, जानते हैं? जब हर कोई घबरा रहा होता है,
00:00:04तब सवाल यह नहीं होता कि क्या प्रोडक्शन सुरक्षित है? सवाल यह होता है कि क्या किसी ने इसे स्थानीय रूप से इंस्टॉल किया है?
00:00:09यह Bumblebee है। यह Perplexity का एक नया ओपन सोर्स टूल है जो आपकी डेवलपमेंट मशीन को स्कैन करता है
00:00:15पैकेज, एक्सटेंशन और MCP कॉन्फ़िगरेशन के लिए, बिना आपके पैकेज मैनेजर को चलाए या
00:00:21प्रोजेक्ट कोड को निष्पादित किए। तो मैन्युअल रूप से खोजने के बजाय, आपको सेकंडों में स्थानीय इन्वेंट्री मिल जाती है।
00:00:26मैं इसे लाइव चलाकर दिखाऊंगा। फिर हम बात करेंगे कि यह वास्तव में कहाँ काम करता है और कहाँ नहीं।
00:00:36पुराना मॉडल सरल था। रेपो स्कैन करें, कंटेनर स्कैन करें, प्रोडक्शन स्कैन करें।
00:00:41लेकिन अब हम में से बहुत से लोग ऐसे काम नहीं करते। आज, एक लैपटॉप में पैकेज मैनेजर,
00:00:46ब्राउज़र एक्सटेंशन, एडिटर एक्सटेंशन, एआई कोडिंग टूल, स्थानीय एजेंट, यह सब एक साथ रह सकते हैं।
00:00:53यह एक मशीन में बहुत अधिक भरोसा है। Perplexity ने Bumblebee को आंतरिक रूप से इसी
00:00:58सटीक कारण के लिए बनाया था, फिर कुछ दिन पहले इसे ओपन सोर्स कर दिया। Bumblebee एक रीड-ओनली सिंगल बाइनरी स्कैनर है
00:01:05जो स्थानीय मेटाडेटा से पैकेज, एडिटर एक्सटेंशन, ब्राउज़र एक्सटेंशन और एआई टूल कॉन्फ़िगरेशन की सूची बनाता है।
00:01:11कोई npm ls नहीं, कोई pip show नहीं, कोई यादृच्छिक प्रोजेक्ट कोड नहीं, सिर्फ मेटाडेटा। आइए इसे चलाकर देखें।
00:01:19यदि आपको ऐसे कोडिंग टूल पसंद हैं जो आपके वर्कफ़्लो को तेज़ करते हैं, तो सब्सक्राइब ज़रूर करें। हमारे वीडियो हमेशा
00:01:24आते रहते हैं। ठीक है। सबसे पहले, हमें इसे GitHub से go install के साथ इंस्टॉल करना होगा।
00:01:29यह हमें एक सिंगल गो बाइनरी देता है, कोई डेमन नहीं, कोई सर्विस नहीं। अब आइए सेल्फ टेस्ट चलाएं। मुझे बस
00:01:37इसके लिए Bumblebee self test चलाना है। और उम्मीद है कि हमें परिणाम वापस मिलेगा। ठीक है। अच्छा। स्कैनर
00:01:46अपने ज्ञात फिक्स्चर डेटा का सही पता लगा सकता है। यह टेस्ट इसी के लिए था। अब एक बेसलाइन स्कैन चलाते हैं।
00:01:52हमें बस Bumblebee scan profile चलाना है। हम कहेंगे बेसलाइन और हम अपनी
00:01:57nd.json फ़ाइल डालेंगे। यह वह स्कैन है जिसका उपयोग हम नियमित डेवलपर एंडपॉइंट इन्वेंट्री के लिए करते हैं। यह सामान्य,
00:02:05ग्लोबल और उपयोगकर्ता-स्तरीय पैकेज रूट, एडिटर एक्सटेंशन, ब्राउज़र एक्सटेंशन और समर्थित MCP
00:02:10कॉन्फ़िगरेशन की जाँच करता है। अब आउटपुट देखें। मैं यहाँ head कमांड चलाऊंगा। और यह वह बड़ी चीज़ है जो Bumblebee
00:02:17अब कर रहा है। प्रत्येक पंक्ति एक संरचित रिकॉर्ड है जो हमें वापस मिलता है। तो आपको इकोसिस्टम, पैकेज का नाम,
00:02:25वर्जन, सोर्स फ़ाइल, कॉन्फिडेंस लेवल, मेटाडेटा मिलता है, और आपको पता चलता है कि Bumblebee ने इसे कहाँ पाया। तो अब,
00:02:31हमसे यह पूछने के बजाय कि क्या मेरे सिस्टम में कहीं यह इंस्टॉल हो सकता है? हम वास्तव में इसे
00:02:36यहीं देख सकते हैं। और क्योंकि यह रीड-ओनली मेटाडेटा पार्सिंग है, Bumblebee न तो NPM को कॉल कर रहा है, न ही
00:02:43कोई पायथन पैकेज आयात कर रहा है और न ही आपके गो प्रोजेक्ट को बिल्ड कर रहा है। यह सिर्फ
00:02:50फ़ाइलों को पढ़ रहा है। और इसीलिए यह किसी घटना के दौरान उपयोगी है। यदि आपके पास गो इंस्टॉल है,
00:02:55तो यह वह बिंदु है जहाँ मैं वीडियो को रोकूंगा, शायद अपनी मशीन पर कोशिश करें। इसे चलाना बहुत आसान है।
00:03:00ठीक है, बढ़िया। लेकिन यह सिर्फ एक और सुरक्षा स्कैनर क्यों नहीं है? क्योंकि वे तो हमारे पास पहले से हैं। अब,
00:03:06पहली नज़र में, आप कुछ चीज़ें सोच सकते हैं। यह एक और SCA टूल है, लेकिन वास्तव में ऐसा नहीं है।
00:03:12SCA टूल ज्यादातर आपके एप्लिकेशन की डिपेंडेंसी के बारे में होते हैं। SBOM टूल इस बारे में होते हैं कि आपने क्या शिप किया।
00:03:19EDR इस बारे में है कि आपने क्या निष्पादित किया। Bumblebee स्थानीय डेवलपर स्थिति के बारे में है। तो कल्पना कीजिए एक समझौता
00:03:26किया गया पैकेज एडवाइजरी जारी होती है। आपको यह जानने की आवश्यकता है कि कौन से लैपटॉप खतरे में हो सकते हैं। स्पष्ट कदम
00:03:32सबको पैकेज मैनेजर कमांड चलाने के लिए कहना है, लेकिन यहाँ यह बिल्कुल गलत चीज़ है। यदि हम
00:03:38कुछ दुर्भावनापूर्ण खोज रहे हैं, तो आप नहीं चाहेंगे कि आपका कमांड गलती से दुर्भावनापूर्ण
00:03:42व्यवहार को निष्पादित करे। इसलिए Bumblebee सीधा है। मेटाडेटा पढ़ें, इन्वेंट्री उत्सर्जित करें, ज्ञात जोखिमों का मिलान करें,
00:03:49और फिर बाहर निकलें। यह हो गया। इसमें तीन स्कैन प्रोफाइल हैं। पहला बेसलाइन है। यह आपका
00:03:55हल्का आवर्ती स्कैन है। यह ग्लोबल पैकेज, उपयोगकर्ता-स्तरीय टूल चेन, एक्सटेंशन,
00:04:02और MCP कॉन्फ़िगरेशन को देखता है। मूल रूप से जो इस डेवलपर मशीन पर सामान्य रूप से मौजूद होता है। यह वही सवाल है जिसका
00:04:09यह हमें जवाब दे रहा है। फिर यह प्रोजेक्ट पर जाता है। यह ज्ञात वर्कस्पेस
00:04:14निर्देशिकाओं जैसे कोड, सोर्स या वर्क के लिए है। इसका उपयोग तब करें जब आप
00:04:20वास्तविक देव फ़ोल्डरों में लॉक्ड फ़ाइलों के बारे में परवाह करते हैं। और फिर हम इसे और गहरा कर सकते हैं। यह इंसिडेंट रिस्पॉन्स मोड है।
00:04:26आप इसे स्पष्ट मार्गों पर इंगित करते हैं, यहाँ तक कि होम जैसे व्यापक मार्ग पर भी, आमतौर पर एक जोखिम सूची और
00:04:32अवधि सीमा के साथ। तो आपका सामान्य वर्कफ़्लो Bumblebee scan profile baseline हो सकता है। ठीक है। जब कुछ बुरा
00:04:38होता है, तो आप एक गहरे स्कैन पर स्विच करते हैं, Bumblebee scan profile, आप इस कमांड के साथ और गहराई में जा सकते हैं
00:04:44यहीं पर। यही इस सब की प्रक्रिया है: बेसलाइन जब शांत हो, गहरा स्कैन जब खतरा हो।
00:04:51और कवरेज ही इसे वास्तव में दिलचस्प बनाता है। Bumblebee npm, pnpn, yarn, bun,
00:04:58गो मॉड्यूल, आप जो भी नाम लें, में देख सकता है। साथ ही यह समर्थित MCP JSON कॉन्फ़िगरेशन को देख सकता है। वह एक बड़ी विशेषता है क्योंकि
00:05:06आजकल, MCP कॉन्फ़िगरेशन नए ENV फ़ाइलें बन रहे हैं। वे हमारे पूरे सिस्टम में हैं। Bumblebee
00:05:13NDJSON आउटपुट करता है। अब, कुछ लोग इसे नापसंद करेंगे। लेकिन इसे देखने का एक और तरीका यह है,
00:05:18इसका मतलब है कि आप इसे JQ में पाइप कर सकते हैं, फ़ाइल में शिप कर सकते हैं, MDM के माध्यम से एकत्र कर सकते हैं, SIEM में डाल सकते हैं,
00:05:25या किसी अन्य एजेंटिक वर्कफ़्लो को सौंप सकते हैं। यह बस उबाऊ, स्क्रिप्ट करने योग्य इंफ्रास्ट्रक्चर बनने की कोशिश कर रहा है। और इस
00:05:32तरह की समस्या के लिए, उबाऊ होना शायद सबसे अच्छा है। अब यह तेज़ है। यह वास्तव में तेज़ है। यह एक सिंगल गो
00:05:38बाइनरी है जिसमें कोई नॉन-स्टैंडर्ड लाइब्रेरी डिपेंडेंसी नहीं है। यह एक बहुत ही देव-अनुकूल शुरुआती बिंदु है। इसका
00:05:45मतलब यह डिज़ाइन से ही सुरक्षित है। रीड-ओनली दृष्टिकोण कोई छोटी बात नहीं है। सप्लाई चेन घटना के दौरान,
00:05:51बस पैकेज मैनेजर चलाएं और देखें कि क्या होता है। यह हमेशा सबसे अच्छी योजना नहीं है। यदि आप जिस पैकेज को
00:05:58देख रहे हैं उसमें दुर्भावनापूर्ण लाइफस्टाइल स्क्रिप्ट या अजीब प्लगइन व्यवहार है, तो आप नहीं चाहेंगे कि आपका स्कैनर
00:06:03वह चीज़ बने जो गलती से इसे ट्रिगर कर दे। अब, यह एक वास्तविक अंतराल को भी भरता है। अधिकांश टीमों के पास CI में
00:06:10कुछ दृश्यता, कंटेनर प्रोडक्शन में कुछ दृश्यता, और कुछ एंडपॉइंट दृश्यता होती है। लेकिन देव मशीन
00:06:17गंदी हो सकती है। इसमें आधे अधूरे प्रोजेक्ट्स, पुराने क्लोन, ग्लोबल पैकेज, टेस्ट वर्चुअल एनवायरनमेंट,
00:06:23एआई टूलिंग, सब कुछ जो आपकी स्वच्छ आधिकारिक इन्वेंट्री में कभी नहीं दिखता। Bumblebee आपको
00:06:30उस स्थानीय स्थिति को देखने का एक व्यावहारिक तरीका देता है। और अंत में, एआई कॉन्फ़िगरेशन कवरेज बिल्कुल सही समय पर है। स्थानीय
00:06:36एजेंट, MPC सर्वर, और टूल कॉलिंग वर्कफ़्लो तेज़ी से आगे बढ़ रहे हैं। लेकिन अब इसे भी ध्यान में रखें, जबकि आप
00:06:43Bumblebee का उपयोग करने जा रहे हैं। यह बिल्कुल नया है। मतलब मैं कह रहा हूँ बहुत, बहुत नया क्योंकि यह अभी आया है। तो
00:06:49बदलावों की अपेक्षा करें। यह अभी मैक ओएस और लिनक्स पर केंद्रित है। जोखिम सूची प्रवाह अच्छा है, लेकिन इसका
00:06:54मतलब यह भी है कि Bumblebee तब अधिक उपयोगी हो जाता है जब आपके पास अच्छा एडवाइजरी डेटा हो। और यह EDR नहीं है, सही?
00:07:02यह एक संकीर्ण सवाल का जवाब देता है। इस मशीन पर कौन से पैकेज, एक्सटेंशन और देव टूल कॉन्फ़िगरेशन
00:07:09मौजूद हैं। और क्या कोई ऐसी चीज़ से मेल खाता है जिसे हम पहले से ही बुरा जानते हैं। यही बिंदु है। यह
00:07:14आपके सुरक्षा स्टैक को प्रतिस्थापित नहीं कर रहा है। यह उस हिस्से को भर रहा है जिसे आपका सुरक्षा स्टैक शायद स्पष्ट रूप से नहीं देखता है। तो
00:07:19क्या आपको वास्तव में Bumblebee का उपयोग करना चाहिए? मेरा जवाब है हाँ, विशेष रूप से आपके दिन-प्रतिदिन के काम में,
00:07:24NPM, गो, वीएस कोड, कर्सर, क्लाउड, सर्वर, इस तरह की चीजें शामिल हैं। सप्ताह में एक बार बेसलाइन स्कैन चलाएं,
00:07:32सही? यह सिर्फ एक कमांड है। Bumblebee scan your profile, और यह वही करेगा जो मैंने यहाँ दिखाया है।
00:07:37अब आपके पास अपनी मशीन पर मौजूद चीज़ों का स्नैपशॉट है। NDJSON को कहीं केंद्रीय रूप से डंप करें।
00:07:43फिर जब कोई घटना होती है, तो आप Slack पर सभी से पूछने के बजाय सब कुछ खोज सकते हैं,
00:07:49अरे, क्या किसी के पास यह है? Bumblebee आपको बताता है कि देव मशीनें स्थानीय के माध्यम से क्या उजागर करती हैं
00:07:55पैकेज मेटाडेटा, एक्सटेंशन मैनिफ़ेस्ट और समर्थित एआई टूल कॉन्फ़िगरेशन। यह पहले घंटे में बेहद उपयोगी है
00:08:02जब कुछ भी गलत हो जाता है क्योंकि कोई बहस नहीं करना चाहता। वे जानना चाहते हैं कि कौन खतरे में है, कहाँ
00:08:08है, और आप इसे कितनी तेज़ी से साबित कर सकते हैं? और इसके लिए, Bumblebee काफी सम्मोहक है। यह एक काफी मजबूत
00:08:14ओपन सोर्स टूल है जो हमें अभी मिला है। यदि आपको इस तरह के कोडिंग टूल और टिप्स पसंद हैं, तो BetterStack चैनल को
00:08:18सब्सक्राइब करना सुनिश्चित करें।
00:08:20हम आपको अगले वीडियो में देखेंगे।
Community Posts
No posts yet. Be the first to write about this video!
Write about this video