• Pet. svi 29th, 2026

Oblak Znanja

informatička edukacija i vijesti

Top Tags
Novosti

Perplexity lansirao Bumblebee: Kako se njegov novi razvojni skener samo za čitanje razlikuje od Chainguarda

ByTomšić Damjan

svi 29, 2026

dem10/ iStock / Getty Images Plus preko Getty Images

Pratite ZDNET: Dodajte nas kao željeni izvor na Googleu.

Ključni podaci ZDNET-a za van

  • Perplexity Bumblebee je sigurnosni program za razvojne programere otvorenog koda.
  • Bumblebee ne zahtijeva AI ili pretplatu.
  • Cilj programa je uočavanje problema na prijenosnim računalima programera.

Ako ste programer, bolno ste svjesni da je došlo do poplave uspješnih zlonamjernih napada na vaš lanac opskrbe softverom. Ovi napadi uključuju Kompromis paketa Axios npmthe PyPI LiteLLM AI napadi CanisterSprawl npm napad.

Što programer može učiniti kada ne može vjerovati ni samim sastavnim dijelovima svog programa? Pa, postoji nekoliko pristupa, a najnoviji dolazi iz Zbunjenost.

Prema AI tvrtki, Bumbar je “skener samo za čitanje koji koristimo za provjeru rizičnih paketa, proširenja i konfiguracija alata za razvojne programere tijekom incidenata u lancu opskrbe.” Tvrtka je u svojoj objavi rekla da je program jedan od “internih alata koje koristimo za zaštitu razvojnih sustava iza Perplexity, Comet i Computer.”

Također: Kako sam svoju poslovnu e-poštu dobio kroz filtre neželjene pošte sa SPF-om, DKIM-om i DMARC-om

Sigurnosno pitanje Bumblebee je napravljen da odgovori

Alat je napravljen da odgovori na prvo pitanje koje vam se pojavi nakon novog savjetovanja o lancu opskrbe: Ima li netko od naših programera ovu stvar instaliranu?

Bumblebee radi na MacOS i Linux razvojnim strojevima i sada je dostupan kao Go projekt otvorenog koda. Rezultate alata možete uključiti u bilo koji sigurnosni sustav koji već koristite.

Umjesto ciljanja koda ili ponašanja u vremenu izvođenja, Bumblebee se fokusira na četiri specifične površine. Perplexity je tvrdio da postojeći alati otvorenog koda obično pokrivaju jednu ili dvije od ovih površina, dok Bumblebee može rukovati sa sve četiri odjednom:

  • Upravitelji jezičnih paketa: npm, pnpm, Yarn, Bun, PyPI, Go moduli, RubyGems i Composer
  • Konfiguracije AI agenta: Model Context Protocol (MCP)
  • Proširenja uređivača: obitelj VS Code-a (tj. VS Code, Cursor, Windsurf, VSCodium)
  • Proširenja preglednika: Chromium‑family (Chrome, Comet, Edge, Brave, Arc) i Firefox

Također: Traka za krpanje: Zašto tradicionalna sigurnost aplikacija više nije dovoljna

Drugim riječima, ovaj alat je za ljude koji koriste JavaScript/TypeScript, Python, Go, Ruby i PHP; programeri koji eksperimentiraju s AI MCP konfiguracijama; i programeri koji žive unutar uređivača u stilu VS Codea i preglednika u stilu Chromiuma.

Kako se Bumblebee integrira u vaš interni tijek rada

Bumblebee je dio većeg internog tijeka rada, koji Perplexity opisuje na sljedeći način:

  1. Signal prijetnje prepoznaje se javnim otkrivanjem podataka, izvorima podataka trećih strana ili internim istraživanjem.
  2. Perplexity Computer izrađuje ažuriranje kataloga. Unosi signal u strukturirani unos (ekosustav, naziv, verzija), a zatim otvara GitHub pull request (PR) s izvornim vezama.
  3. Otkrivanje se šalje na ljudski pregled, nakon čega se PR spaja.
  4. Bumblebee radi na krajnjim točkama s ažuriranim katalogom.
  5. Nalazi se dijele sa sigurnosnim timom.

Ne morate koristiti Perplexity JSON katalog; sada možete pokrenuti Bumblebee sa svojim vlastitim katalozima i postupkom pregleda. Svakom otkrivanju se “može ući u trag, pokazuje koji je unos u katalogu pokrenuo prijavu, kada je dodan i sve dokaze”, istaknuo je Perplexity.

Možete koristiti Bumblebee katalog otvorenog koda na GitHubu. Pronaći ćete ga u direktoriju risk_intel/, koji “drži održavane kataloge izloženosti izgrađene na temelju javnih obavještajnih izvješća o prijetnjama o nedavnim kampanjama lanca opskrbe.” Svaka datoteka u tom direktoriju je katalog u standardnom JSON formatu (schema_version + unosi). README tamo objašnjava trenutni popis kataloga i smjernice za pregled. Da biste koristili kataloge, klonirate repo i proslijedite taj direktorij skeneru. Za više o tom koraku, pogledajte Bumblebee’s Threat Intelligence Exposure Catalozi.

Također: Najbolje VPN usluge: Stručno testirano i preporučeno

Alternativno, možete izgraditi vlastiti Bumblebee katalog kao jednostavnu JSON datoteku s popisom točnih podudaranja za rizične komponente do kojih vam je stalo, kao što su ekosustav, naziv paketa i zahvaćene verzije. Bumblebee zatim uspoređuje inventar lokalnog stroja s tim katalogom i označava samo točna podudaranja (ekosustav, naziv, verzija), tako da je katalog namjerno uzak i deterministički.

Skener podržava tri profila koji prilično jasno prikazuju kako programeri i sigurnosni timovi razmišljaju o opsegu:

  • Osnovni profil: Rutinsko skeniranje standardnih lokacija prijenosnih računala. Timovi planiraju skeniranje putem vlastitih sustava.
  • Profil projekta: ciljano skeniranje određenih spremišta ili radnih prostora.
  • Duboki profil: Pregled odgovora za aktivne incidente.

Perplexity pozicionira ovaj alat izravno u sloj “površine za programere”: popis materijala za softver (SBOM) i skeneri ranjivosti rukuju repozitorijima i izrađuju artefakte. Proizvodi inventara krajnjih točaka pokrivaju instalirane aplikacije. Bumblebee radi na prijenosnom računalu za programere. Ključni rezultat je: “Govori vam ima li to računalo određeni paket, verziju, proširenje ili MCP konfiguraciju instaliranu kada stigne savjet o opskrbnom lancu.”

Samo za čitanje izbjegava rizična skeniranja

Tvrtka se snažno oslanja na “samo za čitanje” kao sigurnosno svojstvo, a ne samo detalj implementacije. Prema njihovim riječima, “Bumblebee je samo za čitanje. Izravno čita datoteke s metapodacima i nikada ne dopušta pokretanje potencijalno kompromitiranih alata, što sprječava da skeniranje postane rizik.” Dodali su: “Postavljanje Bumblebeea samo za čitanje pomaže u izbjegavanju problema s izvršavanjem koda za vrijeme instalacije.”

Također: 5 načina da ojačate svoju mrežu protiv nove brzine AI napada

Post je izravno prozvao postinstalacijske napade u stilu npm-a: “npm paketi mogu sadržavati postinstalacijske skripte koje se automatski pokreću čim ih npm install dotakne. Tako su se najnoviji crvi u opskrbnom lancu proširili.” Upozorenje za skenere na strani programera je otvoreno: “Skener koji poziva npm da provjeri izloženost već je pokrenuo napad koji je tražio.”

Bumblebeejeva sigurnosna jamstva proizlaze iz onoga što odbija učiniti, rekao je Perplexity:

  • Nikada ne pokreće instalacijske skripte ili kuke životnog ciklusa.
  • Nikada ne pokreće vaš upravitelj paketa.
  • Bumblebee nikada ne čita izvorne datoteke aplikacije; čita metapodatke kao što su zaključane datoteke, manifesti i metapodaci instaliranih paketa.
  • Bumblebee nije program za otkrivanje i odgovor krajnje točke (EDR).

Ovako postavljen, Bumblebee ne pokušava zamijeniti alate za otkrivanje krajnjih točaka ili skenere za vrijeme izrade. To je više ciljana sonda inventara usmjerena na specifične metapodatke koji uočavaju kada računalo određenog programera koristi ranjivi kod.

Također: Zaustavljanje grešaka prije slanja: Prijelaz na preventivnu sigurnost

Bumbar također nije sličan Štitnik lancagdje je fokus u potpunosti na osiguravanju vašeg opskrbnog lanca softvera ojačavanjem spremnika i cjevovoda, a ne prijenosnih računala za programere. Smjernice su usredotočene na koncepte kao što su minimalne, ojačane osnovne slike, automatizirane ponovne izgradnje kada se otkriju ranjivosti i politika koja blokira slanje artefakata koji nisu usklađeni.

Kako se Bumblebee uspoređuje s Chainguardom

Bumblebee živi korak ranije u životnom ciklusu i korak bliže mjestu gdje programeri zapravo rade. Perplexity je napisao da “sigurnost počinje na površini lokalnog programera” i da “integritet naših proizvoda mora započeti dalje u opskrbnom lancu od proizvodnje.” Dok Chainguardove kontrole okružuju spremnike i izlaze za izgradnju, Perplexity je rekao da Bumblebee “radi na prijenosnom računalu razvojnog programera” i koristi se “za provjeru rizičnih paketa, proširenja i konfiguracija alata za AI alate na razvojnim strojevima tijekom incidenata u lancu opskrbe.”

Za programere se taj pristup pretvara u različite dodirne točke. Chainguard se prikazuje kao osnovne slike, pravila i zahtjevi SBOM-a u vašim cjevovodima. Bumblebee je program koji vaš tim za sigurnost pokreće na vašem prijenosnom računalu kako bi vidio koje pakete, proširenja i MCP konfiguracije trenutno imate instalirane i zabilježio koji su ranjivi.

Također: Moja nova omiljena Windows aplikacija učinila je moje računalo sigurnijim i pouzdanijim – i besplatna je

Oba pristupa imaju svoje prednosti. Osobno više volim Chainguardov pristup, koji je proširen na AI alate i kod, ali vidim kako bi i Bumblebee mogao biti koristan. Alat također ima prednost što je besplatan i otvorenog koda pod licencom Apache 2.0.

Web izvor

By Tomšić Damjan

Pozdrav, ja sam Damjan Tomšić, osnivatelj i urednik informatičko edukativnog bloga Oblak Znanja. Za Vas ću se potruditi da dobijete edukativne članke, savjete i recenzije vezane uz osnovno i napredno korištenje računala i interneta. Kontak: Google+, Gmail.

Related Post

Novosti
4 postavke programera za Android Auto koje vožnju čine mnogo lakšom – kako ih omogućiti
svi 29, 2026 Tomšić Damjan
Novosti
Samsung bi mogao biti ažuriran na vašem Galaxy uređaju
svi 29, 2026 Tomšić Damjan
Novosti
Ekspanzija Witcher 3 Songs of the Past trebala je biti lansirana ove godine, otkriva CD Projekt Red, tako da su glasine bile točne
svi 29, 2026 Tomšić Damjan

You missed

Novosti
Novosti
Novosti
Novosti