Perplexity, Bumblebee 출시: 새로운 읽기 전용 개발 스캐너와 Chainguard의 차이점

랩스캔-스크린샷-2026-05-28-120036

dem10/ iStock / Getty Images Plus(Getty Images를 통해)

ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.


ZDNET의 주요 시사점

  • Perplexity Bumblebee는 오픈 소스 개발자 보안 프로그램입니다.
  • Bumblebee에는 AI나 구독이 필요하지 않습니다.
  • 이 프로그램은 프로그래머의 노트북에서 문제를 찾아내는 것을 목표로 합니다.

프로그래머라면 소프트웨어 공급망에 악의적인 공격이 쇄도하고 있다는 사실을 뼈저리게 알고 있을 것입니다. 이러한 공격에는 Axios npm 패키지 손상, PyPI LiteLLM AI 공격 및 CanisterSprawl npm 공격이 포함됩니다.

프로그램의 구성 요소 자체를 신뢰할 수 없을 때 프로그래머는 어떻게 해야 합니까? 글쎄요, 몇 가지 접근 방식이 있으며 가장 최근의 접근 방식은 Perplexity에서 나왔습니다.

AI 회사에 따르면 Bumblebee는 “공급망 사고 중에 개발자 시스템에서 위험한 패키지, 확장 프로그램 및 AI 도구 구성을 확인하는 데 사용하는 읽기 전용 스캐너”입니다. 회사는 발표에서 이 프로그램이 “Perplexity, Comet 및 Computer 뒤에 있는 개발자 시스템을 보호하기 위해 사용하는 내부 도구” 중 하나라고 밝혔습니다.

또한: SPF, DKIM 및 DMARC를 사용하는 스팸 필터를 통해 비즈니스 이메일을 받은 방법

보안 질문 Bumblebee는 답변을 제공하기 위해 만들어졌습니다.

이 도구는 새로운 공급망 권고 이후 마음속에 떠오르는 첫 번째 질문에 답하기 위해 만들어졌습니다. 우리 프로그래머 중 이 제품을 설치한 사람이 있습니까?

Bumblebee는 MacOS 및 Linux 개발자 컴퓨터에서 실행되며 현재 오픈 소스 Go 프로젝트로 제공됩니다. 도구의 결과를 이미 사용하고 있는 보안 시스템에 연결할 수 있습니다.

Bumblebee는 코드나 런타임 동작을 타겟팅하는 대신 네 가지 특정 표면에 중점을 둡니다. Perplexity는 기존 오픈 소스 도구가 이러한 표면 중 하나 또는 두 개를 다루는 경향이 있는 반면 Bumblebee는 네 가지를 동시에 처리할 수 있다고 주장했습니다.

  • 언어 패키지 관리자: npm, pnpm, Yarn, Bun, PyPI, Go 모듈, RubyGems 및 Composer
  • AI 에이전트 구성: MCP(모델 컨텍스트 프로토콜)
  • 편집기 확장: VS Code 제품군(예: VS Code, Cursor, Windsurf, VSCodium)
  • 브라우저 확장: Chromium 제품군(Chrome, Comet, Edge, Brave, Arc) 및 Firefox

또한: 패치 런닝머신: 기존 애플리케이션 보안이 더 이상 충분하지 않은 이유

즉, 이 도구는 JavaScript/TypeScript, Python, Go, Ruby 및 PHP를 실행하는 사람들을 위한 것입니다. AI MCP 구성을 실험하는 프로그래머 VS Code 스타일 편집기와 Chromium 스타일 브라우저에 거주하는 개발자.

Bumblebee가 내부 작업 흐름에 통합되는 방법

Bumblebee는 Perplexity가 다음과 같이 설명하는 대규모 내부 작업 흐름의 일부입니다.

  1. 위협 신호는 공개 공개, 제3자 인텔 피드 또는 내부 연구를 통해 식별됩니다.
  2. Perplexity Computer가 카탈로그 업데이트 초안을 작성합니다. 구조화된 항목(생태계, 이름, 버전)에 신호를 입력한 다음 소스 링크가 있는 GitHub PR(풀 요청)을 엽니다.
  3. 탐지 내용은 사람의 검토로 전송된 후 PR이 병합됩니다.
  4. Bumblebee는 업데이트된 카탈로그를 사용하여 엔드포인트에서 실행됩니다.
  5. 조사 결과는 보안팀과 공유됩니다.

Perplexity의 JSON 카탈로그를 사용할 필요는 없습니다. 이제 자신만의 카탈로그와 검토 프로세스로 Bumblebee를 실행할 수 있습니다. Perplexity는 각 탐지가 “추적 가능하여 어떤 카탈로그 항목이 파일링을 촉발했는지, 언제 추가되었는지, 모든 증거를 보여줍니다”라고 말했습니다.

GitHub에서 오픈 소스 Bumblebee 카탈로그를 사용할 수 있습니다. “최근 공급망 캠페인에 대한 공개 위협 인텔리전스 보고를 기반으로 구축된 유지 관리 노출 카탈로그를 보관하는 Threat_intel/ 디렉터리에서 찾을 수 있습니다.” 해당 디렉터리의 각 파일은 표준 JSON 형식(schema_version + 항목)의 카탈로그입니다. 거기에 있는 README에는 현재 카탈로그 목록과 검토 지침이 설명되어 있습니다. 카탈로그를 사용하려면 저장소를 복제하고 해당 디렉터리를 스캐너에 전달합니다. 해당 단계에 대한 자세한 내용은 Bumblebee의 위협 인텔리전스 노출 카탈로그를 참조하세요.

또한: 최고의 VPN 서비스: 전문가 테스트 및 권장

또는 생태계, 패키지 이름, 영향을 받는 버전 등 관심 있는 위험한 구성 요소와 정확히 일치하는 항목을 나열하는 간단한 JSON 파일로 자신만의 Bumblebee 카탈로그를 구축할 수 있습니다. 그런 다음 Bumblebee는 로컬 기계 인벤토리를 해당 카탈로그와 비교하고 정확한 일치(생태계, 이름, 버전)만 표시하므로 카탈로그는 의도적으로 좁고 결정적입니다.

스캐너는 개발자와 보안 팀이 범위에 대해 생각하는 방식을 매우 명확하게 매핑하는 세 가지 프로필을 지원합니다.

  • 기준 프로필: 표준 노트북 위치를 정기적으로 검색합니다. 팀은 자체 시스템을 통해 검사를 예약합니다.
  • 프로젝트 프로필: 특정 저장소 또는 작업 공간의 대상 스캔.
  • 심층 프로필: 활성 사건에 대한 대응 스윕입니다.

Perplexity는 이 도구를 “개발자 표면” 계층에 정확하게 배치합니다. SBOM(소프트웨어 자재 명세서) 및 취약성 스캐너는 리포지토리를 처리하고 아티팩트를 빌드합니다. 엔드포인트 인벤토리 제품에는 설치된 애플리케이션이 포함됩니다. Bumblebee는 개발자 노트북에서 실행됩니다. 주요 결과는 다음과 같습니다. “공급망 권고가 내려질 때 해당 기계에 특정 패키지, 버전, 확장 또는 MCP 구성이 설치되어 있는지 여부를 알려줍니다.”

읽기 전용으로 위험한 스캔 방지

회사는 단순한 구현 세부 사항이 아닌 보안 속성으로 “읽기 전용”을 적극 활용하고 있습니다. 즉, “Bumblebee는 읽기 전용입니다. 메타데이터 파일을 직접 읽고 잠재적으로 손상된 도구를 실행하지 않으므로 스캔이 위험해지는 것을 방지합니다.” 그들은 “Bumblebee를 읽기 전용으로 만들면 설치 시 코드 실행 문제를 방지하는 데 도움이 됩니다.”라고 덧붙였습니다.

또한: 새로운 속도의 AI 공격에 맞서 네트워크를 강화하는 5가지 방법

게시물은 npm 스타일의 설치 후 공격을 직접적으로 언급했습니다. “npm 패키지는 npm 설치가 패키지에 닿는 순간 자동으로 실행되는 설치 후 스크립트를 전달할 수 있습니다. 이것이 가장 최근의 공급망 웜이 확산된 방식입니다.” 개발자 측 스캐너에 대한 경고는 직설적입니다. “노출을 확인하기 위해 npm을 호출하는 스캐너가 이미 찾고 있던 공격을 트리거했습니다.”

Perplexity는 Bumblebee의 안전 보장은 Bumblebee가 거부하는 것부터 따른다고 말했습니다.

  • 설치 스크립트나 수명 주기 후크를 실행하지 않습니다.
  • 패키지 관리자를 실행하지 않습니다.
  • Bumblebee는 애플리케이션 소스 파일을 읽지 않습니다. 잠금 파일, 매니페스트 및 설치된 패키지 메타데이터와 같은 메타데이터를 읽습니다.
  • Bumblebee는 EDR(엔드포인트 탐지 및 대응) 프로그램이 아닙니다.

이러한 방식으로 구성되는 Bumblebee는 엔드포인트 감지 도구나 빌드 타임 스캐너를 대체하려고 하지 않습니다. 이는 특정 프로그래머의 PC가 취약한 코드를 사용할 때 발견하는 특정 메타데이터에 초점을 맞춘 타겟 인벤토리 조사에 가깝습니다.

또한: 버그 출시 전 차단: 예방적 보안으로의 전환

Bumblebee는 개발자 노트북이 아닌 컨테이너와 파이프라인을 강화하여 소프트웨어 공급망을 보호하는 데 전적으로 초점을 맞춘 Chainguard와도 다릅니다. 지침은 강화된 최소 기본 이미지, 취약점 공개 시 자동 재구축, 비준수 아티팩트 배송을 차단하는 정책 등의 개념에 중점을 두고 있습니다.

Bumblebee와 Chainguard의 비교

Bumblebee는 라이프사이클에서 한 단계 더 일찍, 개발자가 실제로 작업하는 위치에 한 단계 더 가까이 다가갑니다. Perplexity는 “보안은 로컬 개발자 표면에서 시작됩니다”라고 썼으며 “우리 제품의 무결성은 생산보다 공급망에서 시작되어야 합니다”라고 썼습니다. Chainguard의 컨트롤이 컨테이너를 둘러싸고 출력을 빌드하는 경우 Perplexity는 Bumblebee가 “개발자 노트북에서 실행”되며 “공급망 사고 중에 개발자 시스템에서 위험한 패키지, 확장 및 AI 도구 구성을 확인하는 데 사용됩니다”라고 말했습니다.

개발자에게 이러한 접근 방식은 다양한 터치 포인트로 해석됩니다. Chainguard는 파이프라인에 기본 이미지, 정책 및 SBOM 요구 사항으로 표시됩니다. Bumblebee는 현재 설치되어 있는 패키지, 확장 및 MCP 구성을 확인하고 취약한 항목을 확인하기 위해 보안 팀이 노트북에서 실행하는 프로그램입니다.

또한: 제가 가장 좋아하는 새로운 Windows 앱은 PC를 더욱 안전하고 안정적으로 만들어 주었습니다. 그리고 무료입니다.

두 가지 접근 방식 모두 장점이 있습니다. 개인적으로 저는 AI 도구와 코드로 확장된 Chainguard의 접근 방식을 선호하지만 Bumblebee도 어떻게 유용할 수 있는지 알 수 있습니다. 또한 이 도구는 Apache 2.0 라이센스에 따라 무료이자 오픈 소스라는 장점도 있습니다.

공식 정보 바로가기

공식 정보 바로가기

관련 기사

댓글 남기기