Perplexity Releases Bumblebee: A New Tool for Developer Security
Photo: ZDNet
Quick answer
Perplexity выпустила Bumblebee — бесплатный инструмент для сканирования рабочих станций разработчиков на уязвимости в цепочках поставок ПО. Инструмент open-source, не требует подписки и не использует ИИ.
As the number of attacks on software supply chains grows, developers face the need to protect their workstations from vulnerabilities. Perplexity has introduced a solution to this problem—Bumblebee, a tool that scans systems for risky packages, extensions, and AI tool configurations. The tool is already available as an open-source project on GitHub under the Apache 2.0 license.
Bumblebee operates in a 'read-only' mode, eliminating the risk of executing malicious code during scanning. The tool analyzes metadata, such as lock files and manifests, without touching the source code of applications. It supports popular package managers (npm, PyPI, RubyGems, and others), extensions for VS Code and Chromium-based browsers, as well as AI agent configurations using the Model Context Protocol (MCP).
Unlike Chainguard, which focuses on protecting containers and build pipelines, Bumblebee is designed for developer workstations. The tool integrates into existing security processes and allows quick identification of vulnerable components installed on employees' machines. Scan results can be used within internal monitoring systems, and the threat catalog is available for customization.
Perplexity emphasizes that Bumblebee does not replace endpoint threat detection solutions (EDR) or vulnerability scanners at the build stage. The tool addresses a specific task: checking workstations for compliance with current threats in the software supply chain. This is particularly relevant for teams working with JavaScript, Python, Go, Ruby, and PHP, as well as those using AI tools and modern code editors.
Common questions
- Что такое Bumblebee от Perplexity и для чего он предназначен?
- Bumblebee — это бесплатный инструмент с открытым исходным кодом для сканирования рабочих станций разработчиков на наличие уязвимых компонентов в цепочках поставок ПО. Он анализирует пакеты, расширения редакторов и конфигурации AI-инструментов, не требует подписки и не использует искусственный интеллект.
- Как работает Bumblebee и какие системы он поддерживает?
- Bumblebee работает в режиме «только чтение», сканируя метаданные (lock-файлы, манифесты) без доступа к исходному коду. Поддерживает npm, PyPI, RubyGems, расширения VS Code, браузеры на базе Chromium и конфигурации AI-агентов по протоколу MCP.
- В чем отличие Bumblebee от решений вроде Chainguard?
- Bumblebee ориентирован на защиту рабочих станций разработчиков, а не контейнеров или пайплайнов сборки. Он не заменяет EDR или сканеры уязвимостей, а решает задачу проверки соответствия рабочих станций актуальным угрозам в цепочках поставок ПО.
- Можно ли использовать Bumblebee в корпоративной среде и как интегрировать его в существующие процессы безопасности?
- Да, Bumblebee интегрируется в существующие процессы безопасности и позволяет быстро выявлять уязвимые компоненты на рабочих станциях. Результаты сканирования можно использовать в системах мониторинга, а каталог угроз настраивается под нужды команды.
Dzen feed: /feed/dzen.xml · RSS: /feed.xml