bumblebee - Scanner zur Prüfung auf Lieferkettenkompromittierung

xguru · 2026-06-25T09:29:35+09:00

Ein schreibgeschützter Inventarsammler, der auf Mac-/Linux-Entwicklermaschinen Metadaten von Paketen/Erweiterungen/Entwicklungstools erfasst, damit sich im Fall einer Lieferkettenkompromittierung sofort prüfen lässt, was betroffen ist Bietet eine zusätzliche Perspektive auf Bereiche, die SBOM (was wurde ausgeliefert) und EDR (was wurde ausgeführt) nicht beantworten können, also verstreute lokale Zustände wie Lockfiles, Paketmanager-Metadaten oder Erweiterungs-Manifeste Führt keine Paketmanager aus (z. B. kein npm ls, pip show usw.) und liest auch keine Quelldateien, sondern parst nur Metadaten, um die Prüfung ohne Nebenwirkungen durchzuführen Wandelt verstreute Zustände auf dem Datenträger in strukturierte NDJSON-Datensätze um und markiert, wenn ein Exposures-Katalog vorliegt, exakt passende (ecosystem, name, version)-Einträge als Finding-Datensätze Bietet drei Profile baseline: globale/benutzerbezogene Paket-Roots, Toolchains, Editor-/Browser-Erweiterungen, MCP-Konfigurationsziele project: Entwicklungsverzeichnisse wie ~/code, ~/src, ~/work deep: explizite --root-Ziele einschließlich $HOME Bietet breite Ökosystem-Abdeckung: npm/pnpm/Yarn/Bun, PyPI, Go modules, RubyGems, Composer, Homebrew sowie Editor-/Browser-Erweiterungen Prüft auch MCP-Host-Konfigurationen und Agent skills Als einzelnes statisch gelinktes Go-Binary implementiert, ohne Abhängigkeiten außerhalb der Standardbibliothek Apache-2.0-Lizenz

(github.com/perplexityai)

4 Punkte von xguru 3 시간 전 | Noch keine Kommentare. | Auf WhatsApp teilen

Ein schreibgeschützter Inventarsammler, der auf Mac-/Linux-Entwicklermaschinen Metadaten von Paketen/Erweiterungen/Entwicklungstools erfasst, damit sich im Fall einer Lieferkettenkompromittierung sofort prüfen lässt, was betroffen ist
Bietet eine zusätzliche Perspektive auf Bereiche, die SBOM (was wurde ausgeliefert) und EDR (was wurde ausgeführt) nicht beantworten können, also verstreute lokale Zustände wie Lockfiles, Paketmanager-Metadaten oder Erweiterungs-Manifeste
Führt keine Paketmanager aus (z. B. kein npm ls, pip show usw.) und liest auch keine Quelldateien, sondern parst nur Metadaten, um die Prüfung ohne Nebenwirkungen durchzuführen
Wandelt verstreute Zustände auf dem Datenträger in strukturierte NDJSON-Datensätze um und markiert, wenn ein Exposures-Katalog vorliegt, exakt passende (ecosystem, name, version)-Einträge als Finding-Datensätze
Bietet drei Profile
- baseline: globale/benutzerbezogene Paket-Roots, Toolchains, Editor-/Browser-Erweiterungen, MCP-Konfigurationsziele
- project: Entwicklungsverzeichnisse wie ~/code, ~/src, ~/work
- deep: explizite --root-Ziele einschließlich $HOME
Bietet breite Ökosystem-Abdeckung: npm/pnpm/Yarn/Bun, PyPI, Go modules, RubyGems, Composer, Homebrew sowie Editor-/Browser-Erweiterungen
Prüft auch MCP-Host-Konfigurationen und Agent skills
Als einzelnes statisch gelinktes Go-Binary implementiert, ohne Abhängigkeiten außerhalb der Standardbibliothek
Apache-2.0-Lizenz

bumblebee - Scanner zur Prüfung auf Lieferkettenkompromittierung

Verwandte Beiträge

Noch keine Kommentare.