bumblebee - 공급망 침해 노출 점검용 스캐너

2 hours ago 2

(github.com/perplexityai)

맥/리눅스 개발자 머신에서 패키지/확장/개발 도구 메타데이터를 수집해, 공급망 침해 발생 시 즉시 확인하는 읽기 전용 인벤토리 수집기
SBOM(무엇이 배포됐나) 과 EDR(무엇이 실행됐나)이 답하지 못하는 영역, 즉 lockfile/패키지 매니저 메타데이터/확장 매니페스트 등 흩어진 로컬 상태를 보는 별도 관점을 제공
패키지 매니저를 실행하지 않고(npm ls, pip show 등 미실행) 소스 파일도 읽지 않으며, 메타데이터만 파싱해 부작용 없이 점검만 수행
흩어진 디스크 상태를 구조화된 NDJSON 레코드로 변환하고, 노출 카탈로그가 주어지면 (ecosystem, name, version) 정확 일치 항목을 finding 레코드로 표시
세 가지 프로파일 제공
- baseline: 전역/사용자 패키지 루트, 툴체인, 에디터/브라우저 확장, MCP 설정 대상
- project: ~/code, ~/src, ~/work 등으로 구성된 개발 디렉터리
- deep: $HOME 포함 명시적 --root 대상
광범위한 생태계 커버리지 제공: npm/pnpm/Yarn/Bun, PyPI, Go modules, RubyGems, Composer, Homebrew, 그리고 에디터/브라우저 확장 까지 지원
MCP 호스트 설정 및 Agent skills 도 체크
Go 로 구현된 단일 정적 바이너리로 표준 라이브러리 외 의존성 없음
Apache-2.0 라이선스