Transcript
00:00:00サプライチェーン攻撃の厄介なところは、何か起きてからパニックになる頃には
00:00:04本番環境が安全かどうかではなく、誰かがローカルに何かインストールしていないかという話になることです
00:00:09これは「Bumblebee」という、Perplexityが開発した新しいオープンソースツールで、開発者のマシンをスキャンして
00:00:15パッケージや拡張機能、MCPの設定を、パッケージマネージャーやプロジェクトコードを
00:00:21実行することなくチェックします。手作業で探す代わりに、数秒でローカルのインベントリを取得できます。
00:00:26実際に動かしてみましょう。そのあとで、何ができて何ができないかを話します。
00:00:36かつてのモデルは単純でした。リポジトリをスキャンし、コンテナをスキャンし、本番環境をスキャンする。
00:00:41しかし、今の私たちの働き方は違います。一台のノートPCには、パッケージマネージャー、
00:00:46ブラウザ拡張機能、エディタ拡張機能、AIコーディングツール、ローカルエージェントが共存しています。
00:00:53これだけの信頼が一台のマシンに詰まっているのです。Perplexityがこれを社内で構築し、
00:00:58数日前にオープンソース化した理由はまさにそこにあります。Bumblebeeは、読み取り専用の単一バイナリスキャナーで
00:01:05パッケージ、エディタ拡張機能、ブラウザ拡張機能、AIツールの設定をローカルのメタデータから
00:01:11インベントリ化します。NPMのリストやpip showも、プロジェクトコードの実行も不要。メタデータだけで十分です。動かしてみましょう。
00:01:19ワークフローを加速させるツールが好きなら、ぜひチャンネル登録してください。動画を定期的に投稿しています。
00:01:24さて、まずはGitHubからGo installでインストールするところから始めます。
00:01:29これで単一のGoバイナリが手に入ります。デーモンもサービスも不要。次にセルフテストを実行します。必要なのは
00:01:37「bumblebee self test」と実行するだけ。これでテスト結果が返ってくるはず。はい、良好です。スキャナーが
00:01:46既知のフィクスチャデータを正しく検出できています。さて、ベースラインスキャンを実行しましょう。
00:01:52コマンドは「bumblebee scan profile」で、baselineを指定し、
00:01:57nd.jsonファイルを読み込ませるだけ。これは通常の開発エンドポイントインベントリに使用するスキャンです。一般的な
00:02:05グローバルおよびユーザーレベルのパッケージパス、エディタ拡張機能、ブラウザ拡張機能、サポートされているMCP
00:02:10の設定をチェックします。出力を見てみましょう。「head」を実行します。これがBumblebeeの
00:02:17最大の特徴です。各行が構造化されたレコードになっています。エコシステム、パッケージ名、
00:02:25バージョン、ソースファイル、信頼レベル、メタデータ、そしてBumblebeeがどこでそれを見つけたかまで表示されます。
00:02:31ですから、「どこかにインストールされているかも?」と考える代わりに、今ここで確認できるのです。
00:02:36しかも、これは読み取り専用のメタデータ解析なので、BumblebeeはNPMを呼び出しません。Pythonパッケージを
00:02:43インポートすることも、Goプロジェクトをビルドすることもありません。ただファイルを読み込むだけです。
00:02:50だからこそ、インシデント発生時に役立ちます。もしGoがインストールされているなら、
00:02:55ここで動画を止めて、自分のマシンで試してみてください。導入は非常に簡単です。
00:03:00さて、ただのセキュリティスキャナーとなぜ違うのでしょうか?すでにそういったツールはありますよね。
00:03:06一見すると、単なるSCAツールのように思えるかもしれませんが、実はそうではありません。
00:03:12SCAツールは主にアプリケーションの依存関係が対象で、SBOMツールは出荷したものに関するものです。
00:03:19EDRは実行されたものが対象です。Bumblebeeは「ローカルの開発環境の状態」を対象にしています。例えば、脆弱な
00:03:26パッケージの警告が出たとします。どのノートPCが危険にさらされているか知る必要があります。
00:03:32一番わかりやすいのは全員にパッケージマネージャーのコマンドを実行させることですが、これがまさにNGです。
00:03:38悪意のあるものを探している時に、コマンドを実行して誤ってその悪意ある動作を
00:03:42トリガーしたくはないですよね。Bumblebeeは非常に明快です。メタデータを読み、インベントリを出力し、既知の脆弱性と照合して、
00:03:49そして終了する。それだけです。スキャンプロファイルは3つあります。まずは「baseline」。
00:03:55軽量で定期的なスキャンです。グローバルパッケージ、ユーザーレベルのツールチェーン、拡張機能、
00:04:02MCP設定をチェックします。基本的に開発者のマシンに常駐しているものを確認します。
00:04:09次に「project」。これは「code」「source」「work」のような既知のワークスペース用です。
00:04:14実際の開発フォルダー内のロックファイルを確認したい時に使います。さらに
00:04:20もっと深掘りすることも可能です。これが「インシデントレスポンスモード」です。
00:04:26明示的なパス、あるいは「home」のように広範囲に指定し、通常は露出カタログと
00:04:32期間制限を設定して実行します。普段は「Bumblebee scan profile baseline」を使い、
00:04:38問題が起きたら、より深いスキャンに切り替える。このコマンドで深くスキャンできます。
00:04:44落ち着いている時はベースライン、煙が上がったらディープスキャン。これが基本プロセスです。
00:04:51カバー範囲が非常に興味深いところです。npm、pnpm、yarn、bun、
00:04:58Goモジュールなど、何でもいけます。さらに、サポートされているMCP JSON設定もチェックします。これは重要です。
00:05:06最近ではMCP設定が新しいENVファイルになりつつあり、システム中に散らばっているからです。Bumblebeeは
00:05:13NDJSONを出力します。嫌がる人もいるかもしれませんが、
00:05:18別の見方をすれば、JQにパイプしたり、ファイルに保存してMDMで収集したり、SIEMに取り込んだり、
00:05:25あるいは他のエージェントワークフローに渡したりできるということです。退屈でスクリプト可能なインフラを目指していて、
00:05:32この種の問題には、「退屈」なツールこそがベストなのです。高速ですしね。非標準ライブラリへの
00:05:38依存がない単一のGoバイナリ。非常に開発者に優しい出発点です。
00:05:45設計段階で安全が考慮されています。読み取り専用のアプローチは些細なことではありません。サプライチェーンインシデントの間、
00:05:51単純にパッケージマネージャーを実行するのは賢明とは限りません。もし調べているパッケージに
00:05:58悪意のあるライフサイクルスクリプトや奇妙なプラグイン動作が含まれていたら、スキャナーによって
00:06:03それをトリガーしたくはないですよね。これが真のギャップを埋める存在です。多くのチームはCIや
00:06:10コンテナ本番環境、エンドポイントの可視性はありますが、開発マシンは
00:06:17乱雑になりがちです。中途半端なプロジェクト、古いクローン、グローバルパッケージ、仮想環境、
00:06:23AIツールなど、公式のインベントリには載らないものばかり。Bumblebeeは、
00:06:30そのローカル状態を可視化する現実的な方法を提供します。そして最後に、AI設定のカバー範囲。ローカル
00:06:36エージェント、MPCサーバー、ツール呼び出しワークフローは急速に進化しています。ただ、これを使っていく上で、
00:06:43一つ覚えておいてください。これはリリースされたばかりの超最新ツールです。
00:06:49変更される可能性が高いです。現状はMac OSとLinuxに特化しています。露出カタログの流れは良いですが、
00:06:54有益なアドバイザリデータがあってこそ真価を発揮します。それにEDRではないことは忘れないでください。
00:07:02これはより狭い問いに答えるものです。どのようなパッケージ、拡張機能、開発ツール設定がこのマシンに
00:07:09存在するか。そして、既知の脅威と合致するものがあるか。それがポイントです。セキュリティスタックを
00:07:14置き換えるものではありません。セキュリティスタックが見落としている部分を補完するのです。
00:07:19では、実際に使うべきか?答えはイエスです。特にNPM、Go、VS Code、Cursor、Claude、サーバーなどを
00:07:24日常的に使っているなら。週に一度ベースラインスキャンを実行しましょう。
00:07:32単一のコマンド「Bumblebee scan profile」で、今説明したことができます。
00:07:37これでマシンのスナップショットが手に入ります。NDJSONをどこか中央の場所に保存してください。
00:07:43そしてインシデントが起きた時、Slackで「誰かこれ入ってる?」と聞く代わりに
00:07:49すべてを一括検索できるのです。Bumblebeeは、ローカルパッケージのメタデータ、
00:07:55拡張機能のマニフェスト、サポートされているAIツールの設定を通じて、開発マシンが何を公開しているかを教えてくれます。これは最初の
00:08:021時間においては非常に有益です。誰も議論したくはありません。誰が影響を受けているか、どこにあるか、
00:08:08そしてどれだけ早く証明できるかを知りたいのです。その点で、Bumblebeeは非常に強力です。これは
00:08:14非常に素晴らしいオープンソースツールです。このようなコーディングツールやヒントが好きなら、ぜひ
00:08:18BetterStackチャンネルを登録してください。
00:08:20次の動画でお会いしましょう。
Community Posts
No posts yet. Be the first to write about this video!
Write about this video