Perplexity lancia Bumblebee: in che modo il suo nuovo scanner per sviluppatori di sola lettura differisce da Chainguard

Segui ZDNET: Aggiungici come fonte preferita su Google.

I principali punti salienti di ZDNET

• Perplexity Bumblebee è un programma di sicurezza per sviluppatori open supply.
• Bumblebee non richiede AI o un abbonamento.
• Il programma mira a individuare i problemi sui laptop computer dei programmatori.

Se sei un programmatore, sei dolorosamente consapevole del fatto che si è verificata un’ondata di attacchi dannosi riusciti nella catena di fornitura del tuo software program. Questi attacchi includono il Compromissione del pacchetto Axios npmIL Attacco AI PyPI LiteLLMe il CanisterSprawl npm assalto.

Cosa deve fare un programmatore quando non può nemmeno fidarsi degli elementi costitutivi del proprio programma? Bene, ci sono diversi approcci e l’ultimo arriva Perplessità.

Secondo la società AI, Calabrone è uno “scanner di sola lettura che utilizziamo per verificare la presenza di pacchetti rischiosi, estensioni e configurazioni di strumenti AI sui pc degli sviluppatori durante gli incidenti della catena di fornitura”. La società ha affermato nel suo annuncio che il programma è uno degli “strumenti interni che utilizziamo per proteggere i sistemi di sviluppo dietro Perplexity, Comet e Laptop”.

Inoltre: come ho ricevuto le mie e-mail aziendali tramite i filtri antispam con SPF, DKIM e DMARC

La domanda di sicurezza a cui Bumblebee è progettato per rispondere

Lo strumento è progettato per rispondere alla prima domanda che ti viene in mente dopo un nuovo avviso sulla catena di fornitura: qualcuno dei nostri programmatori ha installato questa cosa?

Bumblebee funziona su macchine per sviluppatori MacOS e Linux e è ora disponibile come progetto Go open source. Puoi collegare i risultati dello strumento a qualsiasi sistema di sicurezza che stai già utilizzando.

Invece di prendere di mira il codice o il comportamento di runtime, Bumblebee si concentra su quattro superfici specifiche. Perplexity sostiene che gli strumenti open supply esistenti tendono a coprire una o due di queste superfici, mentre Bumblebee può gestirle tutte e quattro contemporaneamente:

• Gestori di pacchetti linguistici: npm, pnpm, Yarn, Bun, PyPI, moduli Go, RubyGems e Composer
• Configurazioni dell’agente AI: Mannequin Context Protocol (MCP)
• Estensioni dell’editor: famiglia VS Code (advert esempio, VS Code, Cursor, Windsurf, VSCodium)
• Estensioni del browser: famiglia Chromium (Chrome, Comet, Edge, Courageous, Arc) e Firefox

Inoltre: Il tapis roulant delle patch: perché la tradizionale sicurezza delle applicazioni non è più sufficiente

In altre parole, questo strumento è rivolto a persone che utilizzano JavaScript/TypeScript, Python, Go, Ruby e PHP; programmatori che sperimentano configurazioni MCP AI; e sviluppatori che vivono all’interno di editor in stile VS Code e browser in stile Chromium.

Come Bumblebee si integra nel tuo flusso di lavoro interno

Bumblebee fa parte di un flusso di lavoro interno più ampio, che Perplexity delinea come segue:

1. Un segnale di minaccia viene identificato attraverso divulgazioni pubbliche, feed di informazioni di terze parti o ricerche interne.
2. Perplexity Laptop redige un aggiornamento del catalogo. Inserisce il segnale in una voce strutturata (ecosistema, nome, versione) e quindi apre una richiesta pull GitHub (PR) con collegamenti sorgente.
3. Il rilevamento viene inviato alla revisione umana, dopodiché il PR viene unito.
4. Bumblebee viene eseguito sugli endpoint con il catalogo aggiornato.
5. I risultati vengono condivisi con il crew di sicurezza.

Non è necessario utilizzare il catalogo JSON di Perplexity; ora puoi eseguire Bumblebee con i tuoi cataloghi e il tuo processo di revisione. Ogni rilevamento è “tracciabile, mostrando quale voce di catalogo ha attivato la registrazione, quando è stata aggiunta e qualsiasi prova”, ha osservato Perplexity.

Puoi utilizzare il catalogo Bumblebee open supply su GitHub. Lo troverete nella listing threat_intel/, che “contiene cataloghi di esposizione gestiti basati su rapporti pubblici di intelligence sulle minacce sulle recenti campagne della catena di approvvigionamento”. Ogni file in quella listing è un catalogo nel formato JSON normal (schema_version + voci). Il file README spiega l’elenco del catalogo corrente e le indicazioni per la revisione. Per utilizzare i cataloghi, clonare il repository e passare quella listing allo scanner. Per ulteriori informazioni su questo passaggio, vedere Cataloghi di esposizione alle informazioni sulle minacce di Bumblebee.

Anche: I migliori servizi VPN: testati e consigliati da esperti

In alternativa, puoi creare il tuo catalogo Bumblebee come un semplice file JSON che elenca le corrispondenze esatte per i componenti rischiosi che ti interessano, come ecosistema, nome del pacchetto e versioni interessate. Bumblebee confronta quindi l’inventario delle macchine locali con il catalogo e segnala solo le corrispondenze esatte (ecosistema, nome, versione), quindi il catalogo è intenzionalmente ristretto e deterministico.

Lo scanner supporta tre profili che si associano in modo abbastanza chiaro al modo in cui gli sviluppatori e i crew di sicurezza pensano all’ambito:

• Profilo di base: scansione di routine delle posizioni dei laptop computer normal. I crew pianificano la scansione tramite i propri sistemi.
• Profilo del progetto: scansione mirata di repository o aree di lavoro specifici.
• Profilo approfondito: scansione della risposta per gli incidenti attivi.

La perplessità posiziona questo strumento esattamente nel livello della “superficie dello sviluppatore”: la distinta base del software program (SBOM) e gli scanner delle vulnerabilità gestiscono i repository e creano artefatti. I prodotti di inventario degli endpoint coprono le applicazioni installate. Bumblebee viene eseguito sul laptop computer dello sviluppatore. L’output chiave è: “Ti cube se quella macchina ha un pacchetto, una versione, un’estensione o una configurazione MCP specifici installati quando arriva un avviso sulla catena di fornitura.”

La sola lettura evita scansioni rischiose

L’azienda si affida fortemente alla “sola lettura” come proprietà di sicurezza, non solo come dettaglio di implementazione. Nelle loro parole, “Bumblebee è di sola lettura. Legge direttamente i file di metadati e non consente mai l’esecuzione di strumenti potenzialmente compromessi, il che impedisce alla scansione di diventare un rischio.” Hanno aggiunto: “Rendere Bumblebee di sola lettura aiuta a evitare problemi con l’esecuzione del codice in fase di installazione.”

Anche: 5 modi per rafforzare la tua rete contro la nuova velocità degli attacchi IA

Il submit denuncia direttamente gli attacchi postinstall in stile npm: “i pacchetti npm possono contenere script postinstall che vengono eseguiti automaticamente nel momento in cui npm set up li tocca. È così che si sono diffusi i worm della catena di fornitura più recenti.” L’avvertimento per gli scanner lato sviluppatore è schietto: “Uno scanner che invoca npm per verificare l’esposizione ha già attivato l’attacco che stava cercando.”

Le garanzie di sicurezza di Bumblebee derivano da ciò che si rifiuta di fare, ha affermato Perplexity:

• Non esegue mai script di installazione o hook del ciclo di vita.
• Non esegue mai il tuo gestore pacchetti.
• Bumblebee non legge mai i file sorgente dell’applicazione; legge metadati come file di lock, manifest e metadati dei pacchetti installati.
• Bumblebee non è un programma EDR (Endpoint Detection and Response).

Inquadrato in questo modo, Bumblebee non sta cercando di sostituire gli strumenti di rilevamento degli endpoint o gli scanner in fase di creazione. Si tratta più di un’indagine di inventario mirata focalizzata sui metadati specifici che individua quando il PC di un particolare programmatore utilizza codice vulnerabile.

Anche: Bloccare i bug prima che vengano spediti: il passaggio alla sicurezza preventiva

Anche il calabrone non è così Paracatenain cui l’attenzione è interamente rivolta alla protezione della catena di fornitura del software program rafforzando contenitori e pipeline anziché i laptop computer degli sviluppatori. La guida è incentrata su concetti quali immagini di base minime e rafforzate, ricostruzioni automatizzate quando vengono divulgate vulnerabilità e una coverage che blocca la spedizione di artefatti non conformi.

Come si confronta Bumblebee con Chainguard

Bumblebee si trova un passo avanti nel ciclo di vita e un passo avanti più vicino al luogo in cui lavorano effettivamente gli sviluppatori. Perplexity ha scritto che “la sicurezza inizia dalla superficie dello sviluppatore locale” e che “l’integrità dei nostri prodotti deve iniziare più in alto nella catena di approvvigionamento rispetto alla produzione”. Laddove i controlli di Chainguard circondano i contenitori e creano output, Perplexity ha affermato che Bumblebee “funziona sul laptop computer dello sviluppatore” e viene utilizzato “per verificare la presenza di pacchetti, estensioni e configurazioni di strumenti AI rischiosi sulle macchine degli sviluppatori durante gli incidenti della catena di fornitura”.

Per gli sviluppatori, questo approccio si traduce in diversi punti di contatto. Chainguard viene visualizzato come immagini di base, coverage e requisiti SBOM nelle pipeline. Bumblebee è un programma che il tuo crew di sicurezza esegue sul tuo laptop computer per vedere quali pacchetti, estensioni e configurazioni MCP hai attualmente installato e per notare quali sono vulnerabili.

Inoltre: la mia nuova app Home windows preferita ha reso il mio PC più sicuro e affidabile ed è gratuita

Entrambi gli approcci hanno i loro vantaggi. Personalmente preferisco l’approccio di Chainguard, che è stato esteso agli strumenti e al codice di intelligenza artificiale, ma vedo come anche Bumblebee potrebbe essere utile. Lo strumento ha anche il vantaggio di essere gratuito e open supply con licenza Apache 2.0.