bumblebee - Scanner para verificar exposição a comprometimentos da cadeia de suprimentos

xguru · 2026-06-25T09:29:35+09:00

Coletor de inventário somente leitura que reúne metadados de pacotes/extensões/ferramentas de desenvolvimento em máquinas de desenvolvedores Mac/Linux para permitir verificação imediata em caso de comprometimento da cadeia de suprimentos Fornece uma perspectiva separada para enxergar estados locais dispersos que SBOM (o que foi distribuído) e EDR (o que foi executado) não conseguem responder, como lockfiles/metadados de gerenciadores de pacotes/manifestos de extensões Não executa gerenciadores de pacotes (não roda npm ls, pip show etc.) nem lê arquivos-fonte, fazendo apenas a análise de metadados para inspecionar sem efeitos colaterais Converte estados dispersos do disco em registros NDJSON estruturados e, quando um catálogo de exposições é fornecido, marca correspondências exatas de (ecosystem, name, version) como registros de findings Oferece três perfis baseline: raízes globais/de usuário de pacotes, toolchains, extensões de editor/navegador, alvos de configuração MCP project: diretórios de desenvolvimento como ~/code, ~/src, ~/work deep: alvos explícitos de --root, incluindo $HOME Oferece ampla cobertura de ecossistemas: npm/pnpm/Yarn/Bun, PyPI, Go modules, RubyGems, Composer, Homebrew e até extensões de editor/navegador Também verifica configuração de host MCP e Agent skills Binário estático único implementado em Go, sem dependências além da biblioteca padrão Licença Apache-2.0

(github.com/perplexityai)

4 pontos por xguru 3 시간 전 | Ainda não há comentários. | Compartilhar no WhatsApp

Coletor de inventário somente leitura que reúne metadados de pacotes/extensões/ferramentas de desenvolvimento em máquinas de desenvolvedores Mac/Linux para permitir verificação imediata em caso de comprometimento da cadeia de suprimentos
Fornece uma perspectiva separada para enxergar estados locais dispersos que SBOM (o que foi distribuído) e EDR (o que foi executado) não conseguem responder, como lockfiles/metadados de gerenciadores de pacotes/manifestos de extensões
Não executa gerenciadores de pacotes (não roda npm ls, pip show etc.) nem lê arquivos-fonte, fazendo apenas a análise de metadados para inspecionar sem efeitos colaterais
Converte estados dispersos do disco em registros NDJSON estruturados e, quando um catálogo de exposições é fornecido, marca correspondências exatas de (ecosystem, name, version) como registros de findings
Oferece três perfis
- baseline: raízes globais/de usuário de pacotes, toolchains, extensões de editor/navegador, alvos de configuração MCP
- project: diretórios de desenvolvimento como ~/code, ~/src, ~/work
- deep: alvos explícitos de --root, incluindo $HOME
Oferece ampla cobertura de ecossistemas: npm/pnpm/Yarn/Bun, PyPI, Go modules, RubyGems, Composer, Homebrew e até extensões de editor/navegador
Também verifica configuração de host MCP e Agent skills
Binário estático único implementado em Go, sem dependências além da biblioteca padrão
Licença Apache-2.0

bumblebee - Scanner para verificar exposição a comprometimentos da cadeia de suprimentos

Leituras relacionadas

Ainda não há comentários.