bumblebee - 공급망 침해 노출 점검용 스캐너
요약
bumblebee는 맥과 리눅스 개발 환경의 패키지 및 확장 도구 메타데이터를 수집하여 공급망 침해를 점검하는 스캐너입니다. 패키지 매니저를 실행하지 않고 메타데이터만 파싱하여 부작용 없이 로컬 상태를 인벤토리화합니다.
핵심 포인트
- 패키지 매니저 미실행 및 소스 미읽기 방식으로 안전한 메타데이터 파싱
- SBOM과 EDR이 놓치기 쉬운 lockfile 및 확장 매니페스트 영역 점검
- npm, PyPI, Go, Homebrew 등 광범위한 생태계 및 MCP 설정 지원
- Go 언어 기반의 단일 정적 바이너리로 배포 및 사용 용이
- 맥/리눅스 개발자 머신에서
패키지/확장/개발 도구 메타데이터를 수집해, 공급망 침해 발생 시 즉시 확인하는 읽기 전용 인벤토리 수집기
SBOM(무엇이 배포됐나) 과 EDR(무엇이 실행됐나)이 답하지 못하는 영역, 즉 lockfile/패키지 매니저 메타데이터/확장 매니페스트 등 흩어진 로컬 상태를 보는 별도 관점을 제공 - 패키지 매니저를 실행하지 않고(
npm ls
, pip show
등 미실행) 소스 파일도 읽지 않으며, 메타데이터만 파싱해 부작용 없이 점검만 수행
- 흩어진 디스크 상태를 구조화된
NDJSON 레코드로 변환하고, 노출 카탈로그가 주어지면(ecosystem, name, version)
정확 일치 항목을 finding 레코드로 표시
세 가지 프로파일 제공
baseline
: 전역/사용자 패키지 루트, 툴체인, 에디터/브라우저 확장, MCP 설정 대상
project
: ~/code
, ~/src
, ~/work
등으로 구성된 개발 디렉터리
deep
: $HOME
포함 명시적 --root
대상
광범위한 생태계 커버리지 제공: npm/pnpm/Yarn/Bun, PyPI, Go modules, RubyGems, Composer, Homebrew, 그리고 에디터/브라우저 확장 까지 지원
MCP 호스트 설정 및 Agent skills 도 체크
- Go 로 구현된 단일 정적 바이너리로 표준 라이브러리 외 의존성 없음
- Apache-2.0 라이선스
댓글과 토론
AI 자동 생성 콘텐츠
본 콘텐츠는 GeekNews의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기0