bumblebee - サプライチェーン侵害の露出点検用スキャナー

xguru · 2026-06-25T09:29:35+09:00

Mac/Linux の開発者マシンでパッケージ/拡張機能/開発ツールのメタデータを収集し、サプライチェーン侵害発生時に即座に確認できる読み取り専用のインベントリ収集ツール SBOM（何が配布されたか）と EDR（何が実行されたか）では答えられない領域、つまり lockfile/パッケージマネージャのメタデータ/拡張機能マニフェストなどに散在するローカル状態を見るための別視点を提供パッケージマネージャを実行せず（npm ls, pip show などは未実行）、ソースファイルも読まず、メタデータのみをパースして副作用なしに点検だけを実行散在するディスク状態を構造化された NDJSON レコードに変換し、露出カタログが与えられると (ecosystem, name, version) の完全一致項目を finding レコードとして表示 3つのプロファイルを提供 baseline: グローバル/ユーザーパッケージルート、ツールチェーン、エディタ/ブラウザ拡張機能、MCP 設定対象 project: ~/code, ~/src, ~/work などで構成された開発ディレクトリ deep: $HOME を含む明示的な --root 対象幅広いエコシステムのカバレッジを提供: npm/pnpm/Yarn/Bun, PyPI, Go modules, RubyGems, Composer, Homebrew, さらにエディタ/ブラウザ拡張機能まで対応 MCP ホスト設定および Agent skills もチェック Go で実装された単一の静的バイナリで、標準ライブラリ以外の依存関係なし Apache-2.0 ライセンス

(github.com/perplexityai)

4 ポイント投稿者 xguru 3 시간 전 | まだコメントはありません。 | WhatsAppで共有

Mac/Linux の開発者マシンで パッケージ/拡張機能/開発ツールのメタデータ を収集し、サプライチェーン侵害発生時に即座に確認できる読み取り専用のインベントリ収集ツール
SBOM（何が配布されたか）と EDR（何が実行されたか）では答えられない領域、つまり lockfile/パッケージマネージャのメタデータ/拡張機能マニフェストなどに散在するローカル状態を見るための別視点を提供
パッケージマネージャを実行せず（npm ls, pip show などは未実行）、ソースファイルも読まず、メタデータのみをパース して副作用なしに点検だけを実行
散在するディスク状態を構造化された NDJSON レコード に変換し、露出カタログが与えられると (ecosystem, name, version) の完全一致項目を finding レコードとして表示
3つのプロファイル を提供
- baseline: グローバル/ユーザーパッケージルート、ツールチェーン、エディタ/ブラウザ拡張機能、MCP 設定対象
- project: ~/code, ~/src, ~/work などで構成された開発ディレクトリ
- deep: $HOME を含む明示的な --root 対象
幅広いエコシステムのカバレッジ を提供: npm/pnpm/Yarn/Bun, PyPI, Go modules, RubyGems, Composer, Homebrew, さらにエディタ/ブラウザ拡張機能まで対応
MCP ホスト設定 および Agent skills もチェック
Go で実装された単一の静的バイナリで、標準ライブラリ以外の依存関係なし
Apache-2.0 ライセンス

bumblebee - サプライチェーン侵害の露出点検用スキャナー

関連記事

まだコメントはありません。