Bumblebee: El escáner de código abierto para entornos de desarrollo desordenados
BBetter Stack
Computing/SoftwareManagementInternet Technology
Transcript
00:00:00¿Sabes qué es lo molesto de los ataques a la cadena de suministro? Para cuando todo el mundo entra en pánico,
00:00:04la pregunta no es: ¿está segura la producción? Es: ¿alguien instaló esto localmente?
00:00:09Esto es Bumblebee. Es una nueva herramienta de código abierto de Perplexity que escanea tu máquina de desarrollo en busca de
00:00:15paquetes, extensiones y configuraciones de MCP sin ejecutar tus gestores de paquetes ni ejecutar
00:00:21código del proyecto. Así que, en lugar de buscar manualmente, obtienes un inventario local en segundos.
00:00:26Voy a ejecutarlo en vivo. Luego hablaremos de dónde funciona realmente y dónde no.
00:00:36Ahora bien, el modelo antiguo era sencillo. Escanear el repositorio, escanear el contenedor, escanear la producción.
00:00:41Pero así no es como trabajamos muchos de nosotros hoy en día. Hoy en día, una computadora portátil puede tener gestores de paquetes,
00:00:46extensiones de navegador, extensiones de editor, herramientas de codificación con IA, agentes locales, todo esto conviviendo.
00:00:53Eso es mucha confianza depositada en una sola máquina. Perplexity creó Bumblebee internamente por esta
00:00:58razón exacta, y luego lo convirtió en código abierto hace solo unos días. Bumblebee es un escáner binario único de solo lectura
00:01:05que hace un inventario de paquetes, extensiones de editor, extensiones de navegador y configuraciones de herramientas de IA a partir de metadatos
00:01:11locales. Nada de MPMLS, nada de pip show, nada de ejecutar código de proyecto aleatorio, solo metadatos. Vamos a ejecutarlo.
00:01:19Si te gustan las herramientas de codificación que aceleran tu flujo de trabajo, asegúrate de suscribirte. Tenemos videos saliendo todo
00:01:24el tiempo. Muy bien. Primero, tenemos que instalar esto con go install desde GitHub.
00:01:29Eso nos da un único binario de Go, sin demonios, sin servicios. Ahora ejecutemos la autocomprobación. Todo lo que tengo que
00:01:37hacer para esto es ejecutar Bumblebee self test. Y con suerte obtenemos la autocomprobación. Bien. Bueno. El escáner puede
00:01:46detectar sus datos de prueba conocidos correctamente. Eso es lo que hizo esta prueba. Ahora ejecutemos un escaneo base.
00:01:52Todo lo que vamos a hacer es ejecutar Bumblebee scan profile. Vamos a decir baseline y vamos a poner
00:01:57nuestro archivo nd.json. Este es el escaneo que usamos para el inventario regular de endpoints de desarrollador. Comprueba rutas comunes,
00:02:05rutas de paquetes globales y de usuario, extensiones de editor, extensiones de navegador y configuraciones de MCP
00:02:10compatibles. Ahora veamos la salida. Voy a ejecutar head aquí. Y esto es lo importante que Bumblebee
00:02:17está haciendo ahora. Cada línea es un registro estructurado. Obtenemos de vuelta. Así que obtienes el nombre del paquete del ecosistema,
00:02:25la versión, el archivo fuente, el nivel de confianza, los metadatos y obtienes dónde Bumblebee lo encontró. Así que ahora,
00:02:31en lugar de preguntarnos: ¿quizás tengo esto instalado en algún lugar del sistema? Ahora podemos verlo
00:02:36aquí mismo. Y como esto es análisis de metadatos de solo lectura, Bumblebee no está llamando a NPM. No está
00:02:43importando ningún paquete de Python y no está compilando tu proyecto Go. Lo único que hace es leer
00:02:50archivos. Y es por eso que es útil durante un incidente. Si tienes Go instalado, este es el
00:02:55punto donde tal vez pausaría el video, tal vez probaría en tu propia máquina. Es súper fácil de poner en marcha.
00:03:00Está bien, genial. ¿Pero por qué esto no es solo otro escáner de seguridad? Porque ya tenemos estos. Ahora,
00:03:06a primera vista, podrías pensar un par de cosas. Es otra herramienta SCA, pero en realidad eso no es lo que
00:03:12es. Las herramientas SCA se tratan mayormente de las dependencias de tu aplicación. Las herramientas SBOM se tratan de lo que enviaste.
00:03:19EDR se trata de lo que ejecutaste. Bumblebee se trata del estado local del desarrollador. Así que imagina que un aviso de paquete
00:03:26comprometido aparece. Necesitas saber qué computadoras portátiles podrían estar expuestas. El movimiento obvio es
00:03:32pedirle a todos que ejecuten comandos de gestor de paquetes, pero eso es exactamente lo incorrecto aquí. Si estamos
00:03:38buscando algo malicioso, no quieres que tu comando ejecute accidentalmente el comportamiento
00:03:42malicioso. Así que Bumblebee es directo. Leer metadatos, emitir inventario, hacer coincidir exposiciones conocidas,
00:03:49y luego terminar. Está hecho. Tiene tres perfiles de escaneo. Primero es el baseline. Este es tu
00:03:55escaneo recurrente ligero. Mira los paquetes globales, las cadenas de herramientas a nivel de usuario, las extensiones,
00:04:02y las configuraciones de MCP. Básicamente lo que normalmente existe en esta máquina de desarrollador. Esa es la pregunta que
00:04:09nos está devolviendo. Nos está dando la respuesta. Luego pasa al proyecto. Esto es para directorios de trabajo
00:04:14conocidos como code, source o work. Úsalo cuando te preocupen los archivos bloqueados en
00:04:20carpetas de desarrollo reales. Y luego incluso podemos hacer que vaya más profundo. Este es el modo de respuesta a incidentes.
00:04:26Lo apuntas a rutas explícitas, incluso algo amplio como home, generalmente con un catálogo de exposición y un
00:04:32límite de duración. Así que tu flujo de trabajo normal podría ser Bumblebee scan profile baseline. Está bien. Cuando algo malo
00:04:38sucede, cambias a un escaneo más profundo, Bumblebee scan profile, puedes ir más profundo con este comando justo
00:04:44aquí. Ese es realmente el proceso para todo esto: baseline cuando las cosas están tranquilas, escaneo profundo cuando hay humo.
00:04:51Y la cobertura es lo que hace que esto sea realmente interesante. Bumblebee puede mirar a través de npm, pnpn, yarn, bun,
00:04:58módulos de Go, lo que sea. Además, puede mirar configuraciones JSON de MCP compatibles. Esa es una característica importante porque
00:05:06hoy en día, las configuraciones de MCP se están convirtiendo en los nuevos archivos ENV. Los tenemos por todo nuestro sistema. Bumblebee también
00:05:13emite NDJSON. Ahora, a algunas personas les va a molestar eso. Pero otra forma de verlo es,
00:05:18que significa que puedes canalizarlo a JQ, enviarlo a un archivo, recopilarlo a través de MDM, ingerirlo en un SEIM,
00:05:25o entregárselo a otro flujo de trabajo de agentes. Solo intenta ser infraestructura aburrida y programable. Y para este
00:05:32tipo de problema, lo aburrido es probablemente lo mejor de todos modos. Ahora, es rápido. Es realmente rápido. Es un binario Go
00:05:38único sin dependencias de librerías no estándar. Ese es un punto de partida muy amigable para el desarrollo. Eso
00:05:45significa que es seguro por diseño. El enfoque de solo lectura no es un detalle menor. Durante un incidente de cadena de suministro,
00:05:51simplemente ejecutar el gestor de paquetes y ver qué pasa, no siempre es el mejor plan. Si el paquete que
00:05:58estás mirando tiene scripts maliciosos o comportamiento extraño de plugins, no quieres que tu escáner sea
00:06:03la cosa que lo active accidentalmente. Ahora, esto también llena un hueco real. La mayoría de los equipos tienen cierta visibilidad
00:06:10en CI, cierta visibilidad en la producción de contenedores y cierta visibilidad de endpoints. Pero la máquina de desarrollo puede
00:06:17volverse desordenada. Tiene proyectos a medio terminar, clones antiguos, paquetes globales, entornos virtuales de prueba,
00:06:23herramientas de IA, todas las cosas que nunca aparecen en tu inventario oficial limpio. Bumblebee te da una
00:06:30forma práctica de ver ese estado local. Y finalmente, la cobertura de configuración de IA llega justo a tiempo. Agentes locales,
00:06:36servidores MPC y flujos de trabajo de herramientas de llamada se están moviendo rápido. Pero ten esto en cuenta ahora también, mientras
00:06:43vayas a usar Bumblebee. Esto es nuevo, nuevo. Como hablo de súper, súper nuevo, ya que acaba de caer. Así que
00:06:49espera cambios. Está enfocado en Mac OS y Linux ahora mismo. El flujo del catálogo de exposición es agradable, pero también
00:06:54significa que Bumblebee se vuelve mucho más útil cuando tienes buenos datos de asesoramiento. Y no es EDR, ¿verdad?
00:07:02Responde a una pregunta más estrecha. Qué paquetes, extensiones y configuraciones de herramientas de desarrollo están presentes en esta
00:07:09máquina. Y si alguna coincide con algo que ya sabemos que es malo. Ese es el punto. Esto no está reemplazando
00:07:14tu pila de seguridad. Está llenando la parte que tu pila de seguridad probablemente no ve claramente. Entonces,
00:07:19¿deberías usar realmente Bumblebee? Mi respuesta es sí, especialmente tu trabajo diario,
00:07:24toca NPM, Go, VS Code, cursor, Claude, servidores, ese tipo de cosas. Ejecuta un escaneo base una vez a la semana,
00:07:32¿verdad? Es un solo comando. Bumblebee scan your profile, y va a hacer lo que te mostré aquí.
00:07:37Ahora tienes una instantánea de lo que hay en tu máquina. Vuelca el NDJSON en algún lugar central.
00:07:43Luego, cuando ocurre un incidente, puedes buscar en todo en lugar de preguntar a todos en Slack,
00:07:49oye, ¿alguien tiene esto? Bumblebee te dice qué máquinas de desarrollo exponen actualmente a través de metadatos de paquetes
00:07:55locales, manifiestos de extensión y configuraciones de herramientas de IA compatibles. Eso es extremadamente útil en la primera
00:08:02hora cuando algo sale mal porque nadie quiere debatir. Quieren saber quién está expuesto, dónde
00:08:08está, y qué tan rápido puedes probarlo. Y para eso, Bumblebee es bastante convincente. Es una herramienta de código abierto bastante fuerte
00:08:14que acabamos de recibir. Si disfrutas de las herramientas de codificación y consejos como este, asegúrate de suscribirte a
00:08:18al canal de BetterStack.
00:08:20Nos vemos en otro video.
Community Posts
No posts yet. Be the first to write about this video!
Write about this video