🐝오픈소스
Bumblebee: 개발자 머신의 소프트웨어 공급망 보안 스캐너
macOS와 Linux 개발 환경에서 패키지, 확장 프로그램, 개발 도구 메타데이터를 읽기 전용으로 스캔하여 공급망 보안 위협을 빠르게 확인하는 도구
↗ 원본 링크#보안#공급망#개발도구#Go
Bumblebee란?
Bumblebee는 Perplexity AI에서 개발한 개발자 머신용 보안 스캐너입니다. 개발 환경에 설치된 패키지, 확장 프로그램, 개발 도구의 메타데이터를 읽기 전용으로 수집하여, 알려진 소프트웨어 공급망 보안 취약점에 노출되었는지 빠르게 확인할 수 있습니다.
주요 특징
읽기 전용 스캔
▸패키지 매니저를 실행하지 않고 lockfile과 메타데이터만 읽습니다
▸시스템에 영향을 주지 않는 안전한 스캔
▸NDJSON 형식으로 구조화된 결과 제공
단일 바이너리
▸Go 1.25+ 기반의 정적 바이너리 하나로 실행
▸외부 의존성 없음 (stdlib만 사용)
▸macOS와 Linux 지원
3가지 스캔 프로필
▸
baseline: 기본 스캔
▸
project: 프로젝트 중심 스캔
▸
deep: 심층 스캔
지원하는 생태계
| 생태계 | 스캔 대상 |
|---|---|
| **npm** | package-lock.json, yarn.lock, pnpm-lock.yaml, bun.lock |
| **PyPI** | *.dist-info/METADATA, *.egg-info/PKG-INFO |
| **Go** | go.sum, go.mod |
| **RubyGems** | Gemfile.lock, *.gemspec |
| **Composer** | composer.lock, installed.json |
| **MCP** | claude_desktop_config.json, mcp.json 등 |
| **에디터 확장** | VS Code 확장 등 |
활용 사례
특정 패키지나 버전에 보안 취약점이 발표되었을 때, 조직 내 어떤 개발자 머신이 해당 취약점에 노출되어 있는지 빠르게 파악할 수 있습니다.
SBOM(Software Bill of Materials)은 배포된 소프트웨어를 추적하고, EDR은 실행된 프로그램을 모니터링하지만, Bumblebee는 개발 환경의 실제 상태를 스캔하여 공급망 보안 대응에 필요한 다른 관점을 제공합니다.
보안 고려사항
MCP 설정 파일의 환경 변수나 인증 정보는 파싱하지만 결과에 포함하지 않아 민감 정보를 보호합니다.