Perplexity משיקה את Bumblebee: כיצד סורק הפיתוח החדש לקריאה בלבד שונה מ-Chainguard

עקוב אחר ZDNET: הוסף אותנו כמקור מועדף בגוגל.

נקודות המפתח של ZDNET

• Perplexity Bumblebee היא תוכנית אבטחה למפתחים בקוד פתוח.
• Bumblebee אינו דורש AI או מנוי.
• התוכנית נועדה לאתר בעיות במחשבים ניידים של מתכנתים.

אם אתה מתכנת, אתה מודע עד כאב לכך שהיה מבול של התקפות זדוניות מוצלחות על שרשרת אספקת התוכנה שלך. התקפות אלו כוללות את התפשרות על חבילת Axios npmה התקפת PyPI LiteLLM AIואת התקפת CanisterSprawl npm.

מה מתכנת לעשות כשהוא אפילו לא יכול לסמוך על אבני הבניין של התוכנית שלו? ובכן, ישנן מספר גישות, והאחרון מגיע מְבוּכָה.

לפי חברת AI, דבורה הוא "סורק לקריאה בלבד שבו אנו משתמשים כדי לבדוק במכונות מפתחים חבילות מסוכנות, הרחבות ותצורות כלי AI במהלך תקריות שרשרת האספקה". החברה אמרה בהודעתה כי התוכנית היא אחד "הכלים הפנימיים שאנו משתמשים בהם כדי להגן על מערכות המפתחים מאחורי Perplexity, Comet ומחשב".

כמו כן: איך קיבלתי את האימיילים העסקיים שלי דרך מסנני דואר זבל עם SPF, DKIM ו-DMARC

שאלת האבטחה Bumblebee בנויה לענות

הכלי בנוי כדי לענות על השאלה הראשונה שצצה בראשכם לאחר ייעוץ חדש לשרשרת אספקה: האם למישהו מהמתכנתים שלנו מותקן הדבר הזה?

Bumblebee פועל על מחשבי מפתחים של MacOS ולינוקס ו זמין כעת כפרויקט Go בקוד פתוח. אתה יכול לחבר את תוצאות הכלי לכל מערכת אבטחה שבה אתה כבר משתמש.

במקום למקד לקוד או להתנהגות בזמן ריצה, Bumblebee מתמקדת בארבעה משטחים ספציפיים. Perplexity טענה שכלי קוד פתוח קיימים נוטים לכסות אחד או שניים מהמשטחים הללו, בעוד שבמבלבי יכולה להתמודד עם כל הארבעה בבת אחת:

• מנהלי חבילות שפה: npm, pnpm, Yarn, Bun, PyPI, Go Modules, RubyGems ו-Composer
• תצורות סוכן בינה מלאכותית: Protocol Context Model (MCP)
• הרחבות עורך: VS Code-family (כלומר, VS Code, Cursor, Windsurf, VSCodium)
• הרחבות לדפדפן: Chromium-family (Chrome, Comet, Edge, Brave, Arc) ו-Firefox

כמו כן: הליכון התיקון: מדוע אבטחת יישומים מסורתית כבר לא מספיקה

במילים אחרות, כלי זה מיועד לאנשים המריצים JavaScript/TypeScript, Python, Go, Ruby ו-PHP; מתכנתים המתנסים בתצורות AI MCP; ומפתחים החיים בתוך עורכים בסגנון VS Code ודפדפנים בסגנון Chromium.

כיצד Bumblebee משתלב בזרימת העבודה הפנימית שלך

Bumblebee הוא חלק מזרימת עבודה פנימית גדולה יותר, שתמהון מתאר כך:

1. אות איום מזוהה באמצעות גילויים פומביים, עדכוני מידע של צד שלישי או מחקר פנימי.
2. Perplexity Computer מנסח עדכון קטלוג. הוא מכניס את האות לערך מובנה (מערכת אקולוגית, שם, גרסה), ואז פותח בקשת משיכה של GitHub (PR) עם קישורי מקור.
3. האיתור נשלח לביקורת אנושית, ולאחר מכן מתאחדת ה-PR.
4. Bumblebee פועל על נקודות קצה עם הקטלוג המעודכן.
5. הממצאים משותפים עם צוות האבטחה.

אינך חייב להשתמש בקטלוג JSON של Perplexity; כעת אתה יכול להפעיל את Bumblebee עם קטלוגים ותהליך סקירה משלך. כל זיהוי הוא "ניתן למעקב, מראה איזו רשומה בקטלוג הפעילה את ההגשה, מתי היא נוספה, וכל ראיה", ציינה תמיהה.

אתה יכול להשתמש בקטלוג Bumblebee בקוד פתוח ב-GitHub. אתה תמצא אותו בספריית threat_intel/, אשר "מחזיקה קטלוגי חשיפה מתוחזקים שנבנו מדיווחי מודיעין איומים ציבוריים על מסעות פרסום אחרונים בשרשרת האספקה". כל קובץ באותה ספרייה הוא קטלוג בפורמט JSON הסטנדרטי (schema_version + ערכים). ה-README שם מסביר את רשימת הקטלוגים הנוכחית ואת הנחיות הסקירה. כדי להשתמש בקטלוגים, אתה משכפל את ה-repo ומעביר את הספרייה הזו לסורק. למידע נוסף על שלב זה, ראה קטלוגי החשיפה של מודיעין האיומים של Bumblebee.

גַם: שירותי ה-VPN הטובים ביותר: מומחה נבדק ומומלץ

לחלופין, אתה יכול לבנות קטלוג Bumblebee משלך כקובץ JSON פשוט המפרט התאמות מדויקות לרכיבים המסוכנים שמעניינים אותך, כגון מערכת אקולוגית, שם חבילה וגרסאות מושפעות. Bumblebee משווה את מלאי המכונות המקומיות לקטלוג הזה ומסמנת רק התאמות מדויקות (מערכת אקולוגית, שם, גרסה), כך שהקטלוג הוא צר ודטרמיניסטי בכוונה.

הסורק תומך בשלושה פרופילים שממפים בצורה די נקייה לאופן שבו מפתחים וצוותי אבטחה חושבים על היקף:

• פרופיל בסיס: סריקה שגרתית של מיקומי מחשב נייד סטנדרטיים. צוותים מתזמנים את הסריקה דרך המערכות שלהם.
• פרופיל פרויקט: סריקה ממוקדת של מאגרים או סביבות עבודה ספציפיות.
• פרופיל עמוק: סריקת תגובה לאירועים פעילים.

תמיהה ממקמת את הכלי הזה באופן ישיר בשכבת "משטח המפתחים": חוק חומרי תוכנה (SBOM) וסורקי פגיעות מטפלים במאגרים ובונים חפצים. מוצרי מלאי של נקודות קצה מכסים יישומים מותקנים. Bumblebee פועל על המחשב הנייד המפתח. הפלט המרכזי הוא: "הוא אומר לך אם למחשב הזה מותקנת חבילה, גרסה, הרחבה או תצורת MCP ספציפיים כאשר נוחתת ייעוץ לשרשרת אספקה."

קריאה בלבד מונעת סריקות מסוכנות

החברה נשענת חזק על "קריאה בלבד" כנכס אבטחה, לא רק פרט יישום. במילים שלהם, "Bumblebee היא לקריאה בלבד. היא קוראת קבצי מטא-נתונים ישירות ולעולם לא נותנת לכלים שעלולים להיפגע, מה שמונע מהסריקה להפוך לסיכון." הם הוסיפו: "הפיכת Bumblebee לקריאה בלבד עוזרת למנוע בעיות עם ביצוע קוד בזמן ההתקנה."

גַם: 5 דרכים לחזק את הרשת שלך נגד המהירות החדשה של התקפות AI

הפוסט קרא ישירות למתקפות שלאחר התקנה בסגנון npm: "חבילות npm יכולות לשאת סקריפטים לאחר התקנה שפועלים אוטומטית ברגע ש-npm install נוגע בהן. כך התפשטו התולעים האחרונות של שרשרת האספקה". האזהרה עבור סורקים בצד המפתח היא בוטה: "סורק שקורא ל-npm כדי לבדוק חשיפה כבר הפעיל את המתקפה שהוא חיפש".

ערבויות הבטיחות של Bumblebee נובעות ממה שהיא מסרבת לעשות, אמר תמיהה:

• הוא אף פעם לא מריץ סקריפטים להתקנה או ווים של מחזור חיים.
• זה אף פעם לא מפעיל את מנהל החבילות שלך.
• Bumblebee אף פעם לא קורא קבצי מקור של יישומים; הוא קורא מטא נתונים כגון קבצי נעילה, מניפסטים ומטא נתונים של חבילות מותקנות.
• Bumblebee אינה תוכנית זיהוי ותגובה של נקודות קצה (EDR).

במסגר כך, Bumblebee לא מנסה להחליף כלי זיהוי נקודות קצה או סורקים בזמן בנייה. זה יותר בדיקת מלאי ממוקדת המתמקדת במטא נתונים הספציפיים שמזהים מתי המחשב האישי של מתכנת מסוים משתמש בקוד פגיע.

גַם: עצירת באגים לפני שהם שולחים: המעבר לאבטחה מונעת

דבורה היא גם לא כמו מגן שרשרתכאשר ההתמקדות היא לחלוטין באבטחת שרשרת אספקת התוכנה שלך על ידי הקשחת מיכלים וצינורות במקום מחשבים ניידים למפתחים. ההנחיה מתמקדת במושגים כמו תמונות בסיס מינימליות ומוקשות, בנייה מחדש אוטומטית כאשר נחשפות פרצות ומדיניות שחוסמת משלוח של חפצים שאינם תואמים.

איך באמבלבי משתווה ל-Chainguard

Bumblebee חי צעד מוקדם יותר במחזור החיים וצעד קרוב יותר למקום שבו מפתחים עובדים בפועל. Perplexity כתבה כי "האבטחה מתחילה במשטח המפתח המקומי", וכי "שלמות המוצרים שלנו צריכה להתחיל יותר במעלה שרשרת האספקה ​​מאשר בייצור". היכן שהשליטה של ​​Chainguard מקיפה את המכולות ואת היציאות לבנות, פרפלסיטי אמרה כי Bumblebee "פועל על המחשב הנייד של המפתחים" ומשמשת "לבדיקת חבילות מסוכנות, הרחבות ותצורות כלי בינה מלאכותית במהלך תקריות שרשרת האספקה".

עבור מפתחים, גישה זו מתורגמת לנקודות מגע שונות. Chainguard מופיע כתמונות בסיס, מדיניות ודרישות SBOM בצינורות שלך. Bumblebee היא תוכנית שצוות האבטחה שלך מריץ במחשב הנייד שלך כדי לראות אילו חבילות, הרחבות ותצורות MCP התקנת כעת, ולציין אילו פגיעות.

כמו כן: אפליקציית Windows האהובה החדשה עליי הפכה את המחשב שלי לבטוח ואמין יותר – וזה בחינם

לשתי הגישות יש את היתרונות שלהן. באופן אישי, אני מעדיף את הגישה של Chainguard, שהורחבה לכלי AI וקוד, אבל אני יכול לראות איך Bumblebee יכול להיות שימושי גם כן. לכלי יש גם יתרון שהוא גם חינמי וגם קוד פתוח תחת רישיון Apache 2.0.