AI 搜索公司 Perplexity 近日在 GitHub 上开源了一个名为 Bumblebee 的工具,专门用于扫描开发者本地磁盘上的包、扩展和开发工具元数据,检查是否受到已知的供应链攻击影响。项目上线不久就获得了 2300+ Star,可见社区对供应链安全的关注度之高。
Bumblebee 是什么
Bumblebee 是一个只读的端点扫描工具。它不会修改你的任何文件,只是检查你本地安装的 npm 包、pip 包、浏览器扩展、VS Code 插件等开发工具的版本信息,然后和已知的供应链漏洞数据库进行比对。
简单来说,它回答的是一个问题:”我的开发环境里,有没有已经被攻破的组件?”
为什么需要这个工具
供应链攻击是近两年增长最快的安全威胁之一。攻击者不再直接攻击你的系统,而是通过污染你依赖的第三方库来渗透。几个典型案例:
- event-stream 事件:一个流行的 npm 包被植入恶意代码,影响了数百万开发者
- codecov 攻击:代码覆盖率工具被篡改,导致使用它的项目密钥泄露
- PyPI 恶意包:Python 包索引中频繁出现名字相似的恶意包
- 2026 年的多起 npm 供应链攻击:包括近期多个知名包被劫持的事件
问题是,大多数开发者不会主动去检查自己安装的每一个包是否安全。Bumblebee 就是为了解决这个问题——用一个简单的命令,快速扫描你的整个开发环境。
使用方法
Bumblebee 用 Go 语言编写,安装和使用都很简单:
# 安装
go install github.com/perplexityai/bumblebee@latest
# 运行扫描
bumblebee scan扫描完成后,Bumblebee 会列出所有发现的安全问题,包括受影响的包名、当前版本、漏洞描述和建议的修复方案。
技术特点
- 只读操作:不会修改任何文件,安全无风险
- 本地运行:扫描结果不会上传到任何服务器,隐私有保障
- 多平台支持:支持 npm、pip、Go modules、Cargo 等多种包管理器
- 快速扫描:基于本地元数据检查,不需要联网查询
- MIT 开源:代码完全开源,可以审计和定制
适合谁
- 所有使用第三方依赖的开发者
- 负责团队安全的 DevOps 工程师
- 对供应链安全有要求的企业团队
- CI/CD 流水线中集成安全检查
简评
Perplexity 开源这个工具的时机很好。随着供应链攻击越来越频繁,开发者需要简单有效的工具来检查自己的依赖是否安全。Bumblebee 的设计理念——只读、本地、快速——很符合开发者的使用习惯。
建议在 CI/CD 流水线中集成 Bumblebee,定期扫描项目的依赖安全状况。毕竟,供应链攻击防不胜防,但至少我们可以做到及时发现。
© 版权声明
THE END
暂无评论内容