Início Tecnologia Perplexity lança Bumblebee: como seu novo scanner de desenvolvimento somente leitura difere...

Perplexity lança Bumblebee: como seu novo scanner de desenvolvimento somente leitura difere do Chainguard

Por
Wagner Costa
-
18
0

dem10/ iStock / Getty Images Plus via Getty Images

Siga ZDNET: Adicione-nos como fonte preferencial no Google.

Principais conclusões da ZDNET

  • Perplexity Bumblebee é um programa de segurança para desenvolvedores de código aberto.
  • O Bumblebee não requer IA ou assinatura.
  • O programa visa detectar problemas nos laptops dos programadores.

Se você é um programador, sabe que houve uma enxurrada de ataques maliciosos bem-sucedidos em sua cadeia de fornecimento de software. Esses ataques incluem Comprometimento do pacote Axios npmo Ataque PyPI LiteLLM AIe o Ataque CanisterSprawl npm.

O que um programador deve fazer quando não consegue nem confiar nos próprios blocos de construção de seu programa? Bem, existem várias abordagens, e a mais recente vem de Perplexidade.

De acordo com a empresa de IA, Abelha é um “scanner somente leitura que usamos para verificar máquinas de desenvolvedores em busca de pacotes, extensões e configurações de ferramentas de IA arriscadas durante incidentes na cadeia de suprimentos”. A empresa disse em seu anúncio que o programa é uma das “ferramentas internas que usamos para proteger os sistemas de desenvolvedores por trás do Perplexity, Comet e Computer”.

Além disso: como recebi meus e-mails comerciais por meio de filtros de spam com SPF, DKIM e DMARC

A pergunta de segurança que o Bumblebee foi criado para responder

A ferramenta foi criada para responder à primeira pergunta que surge em sua mente após um novo comunicado sobre a cadeia de suprimentos: algum de nossos programadores tem isso instalado?

O Bumblebee é executado em máquinas de desenvolvedores MacOS e Linux e está disponível agora como um projeto Go de código aberto. Você pode conectar os resultados da ferramenta a qualquer sistema de segurança que já esteja usando.

Em vez de focar no código ou no comportamento de tempo de execução, o Bumblebee se concentra em quatro superfícies específicas. A Perplexity afirmou que as ferramentas de código aberto existentes tendem a cobrir uma ou duas dessas superfícies, enquanto o Bumblebee pode lidar com todas as quatro de uma vez:

  • Gerenciadores de pacotes de idiomas: módulos npm, pnpm, Yarn, Bun, PyPI, Go, RubyGems e Composer
  • Configurações do agente de IA: Model Context Protocol (MCP)
  • Extensões de editor: família VS Code (ou seja, VS Code, Cursor, Windsurf, VSCodium)
  • Extensões de navegador: família Chromium (Chrome, Comet, Edge, Brave, Arc) e Firefox

Além disso: A esteira de patches: por que a segurança tradicional de aplicativos não é mais suficiente

Em outras palavras, esta ferramenta é para pessoas que executam JavaScript/TypeScript, Python, Go, Ruby e PHP; programadores experimentando configurações de AI MCP; e desenvolvedores que vivem em editores estilo VS Code e navegadores estilo Chromium.

Como o Bumblebee se integra ao seu fluxo de trabalho interno

O Bumblebee faz parte de um fluxo de trabalho interno maior, que a Perplexity descreve da seguinte forma:

  1. Um sinal de ameaça é identificado por meio de divulgações públicas, feeds de informações de terceiros ou pesquisas internas.
  2. Perplexity Computer elabora uma atualização de catálogo. Ele insere o sinal em uma entrada estruturada (ecossistema, nome, versão) e, em seguida, abre uma solicitação pull (PR) do GitHub com links de origem.
  3. A detecção é enviada para revisão humana, após a qual o PR é mesclado.
  4. O Bumblebee é executado em endpoints com o catálogo atualizado.
  5. As descobertas são compartilhadas com a equipe de segurança.

Você não precisa usar o catálogo JSON do Perplexity; agora você pode executar o Bumblebee com seus próprios catálogos e processo de revisão. Cada detecção é “rastreável, mostrando qual entrada do catálogo desencadeou o arquivamento, quando foi adicionada e qualquer evidência”, observou Perplexity.

Você pode usar o catálogo de código aberto do Bumblebee no GitHub. Você o encontrará no diretório Threat_Intel/, que “mantém catálogos de exposição mantidos, criados a partir de relatórios públicos de inteligência sobre ameaças em campanhas recentes da cadeia de suprimentos”. Cada arquivo nesse diretório é um catálogo no formato JSON padrão (schema_version + entradas). O README explica a lista de catálogo atual e as orientações de revisão. Para usar os catálogos, você clona o repositório e passa esse diretório para o scanner. Para obter mais informações sobre essa etapa, consulte Catálogos de exposição de inteligência de ameaças do Bumblebee.

Também: Melhores serviços VPN: testados e recomendados por especialistas

Alternativamente, você pode construir seu próprio catálogo Bumblebee como um arquivo JSON simples listando correspondências exatas para os componentes de risco de seu interesse, como ecossistema, nome do pacote e versões afetadas. O Bumblebee então compara o inventário da máquina local com esse catálogo e sinaliza apenas correspondências exatas (ecossistema, nome, versão), de modo que o catálogo é intencionalmente restrito e determinístico.

O scanner oferece suporte a três perfis que mapeiam de forma bastante clara a forma como os desenvolvedores e as equipes de segurança pensam sobre o escopo:

  • Perfil de linha de base: Verificação de rotina de locais padrão de laptops. As equipes agendam a verificação por meio de seus próprios sistemas.
  • Perfil do projeto: verificação direcionada de repositórios ou espaços de trabalho específicos.
  • Perfil profundo: varredura de resposta para incidentes ativos.

A Perplexity posiciona esta ferramenta diretamente no nível de “superfície do desenvolvedor”: Lista de materiais de software (SBOM) e scanners de vulnerabilidade lidam com repositórios e constroem artefatos. Os produtos de inventário de endpoint cobrem aplicativos instalados. Bumblebee é executado no laptop do desenvolvedor. O principal resultado é: “Ele informa se aquela máquina tem um pacote, versão, extensão ou configuração MCP específica instalada quando um aviso da cadeia de suprimentos chega.”

Somente leitura evita verificações arriscadas

A empresa aposta fortemente no “somente leitura” como uma propriedade de segurança, e não apenas como um detalhe de implementação. Em suas palavras, “o Bumblebee é somente leitura. Ele lê arquivos de metadados diretamente e nunca permite a execução de ferramentas potencialmente comprometidas, o que evita que a verificação se torne um risco”. Eles acrescentaram: “Tornar o Bumblebee somente leitura ajuda a evitar problemas com a execução do código no momento da instalação.”

Também: 5 maneiras de fortalecer sua rede contra a nova velocidade dos ataques de IA

A postagem chamava diretamente os ataques pós-instalação no estilo npm: “pacotes npm podem carregar scripts pós-instalação que são executados automaticamente no momento em que a instalação do npm os toca. É assim que os worms da cadeia de suprimentos mais recentes se espalharam.” O aviso para os scanners do lado do desenvolvedor é contundente: “Um scanner que invoca o npm para verificar a exposição já desencadeou o ataque que procurava.”

As garantias de segurança do Bumblebee decorrem do que ele se recusa a fazer, disse Perplexity:

  • Ele nunca executa scripts de instalação ou ganchos de ciclo de vida.
  • Ele nunca executa seu gerenciador de pacotes.
  • O Bumblebee nunca lê arquivos de origem do aplicativo; ele lê metadados como lockfiles, manifestos e metadados de pacotes instalados.
  • Bumblebee não é um programa Endpoint Detection and Response (EDR).

Enquadrado desta forma, o Bumblebee não está tentando substituir ferramentas de detecção de endpoint ou scanners em tempo de construção. É mais uma investigação de inventário direcionada, focada em metadados específicos que detectam quando o PC de um determinado programador está usando código vulnerável.

Também: Eliminando bugs antes de serem enviados: a mudança para a segurança preventiva

Bumblebee também não é assim Protetor de correnteonde o foco é inteiramente proteger sua cadeia de fornecimento de software, fortalecendo contêineres e pipelines, em vez de laptops de desenvolvedores. A orientação centra-se em conceitos como imagens de base mínimas e reforçadas, reconstruções automatizadas quando vulnerabilidades são divulgadas e uma política que impede o envio de artefatos não compatíveis.

Como o Bumblebee se compara ao Chainguard

O Bumblebee está um passo à frente no ciclo de vida e um passo mais perto de onde os desenvolvedores realmente trabalham. Perplexity escreveu que “a segurança começa na superfície do desenvolvedor local” e que “a integridade dos nossos produtos tem que começar mais acima na cadeia de fornecimento do que na produção”. Enquanto os controles do Chainguard cercam os contêineres e criam resultados, a Perplexity disse que o Bumblebee “roda no laptop do desenvolvedor” e é usado “para verificar as máquinas do desenvolvedor em busca de pacotes arriscados, extensões e configurações de ferramentas de IA durante incidentes na cadeia de suprimentos”.

Para os desenvolvedores, essa abordagem se traduz em diferentes pontos de contato. Chainguard aparece como imagens básicas, políticas e requisitos SBOM em seus pipelines. Bumblebee é um programa que sua equipe de segurança executa em seu laptop para ver quais pacotes, extensões e configurações de MCP você instalou atualmente e observar quais são vulneráveis.

Além disso: meu novo aplicativo favorito do Windows tornou meu PC mais seguro e confiável – e é grátis

Ambas as abordagens têm suas vantagens. Pessoalmente, prefiro a abordagem do Chainguard, que foi expandida para ferramentas e códigos de IA, mas posso ver como o Bumblebee também pode ser útil. A ferramenta também tem a vantagem de ser gratuita e de código aberto sob a licença Apache 2.0.



fonte

ARTIGOS RELACIONADOSMais do autor

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui