你是否曾收到一条紧急安全通告:“某知名 npm 包 v2.3.1 存在远程代码执行漏洞,请立即自查”?但翻遍自己十几台开发机,却不知从何查起——npm ls 太慢、pip list 不显示锁版本、VS Code 扩展清单散落在各用户目录、Go 模块缓存又藏得极深……Bumblebee 就是为此而生:它不运行任何命令、不读源码、不联网,仅以只读方式高速扫描 macOS/Linux 开发机上的包管理元数据、IDE 插件清单和工具配置,5 秒内输出结构化结果,帮你精准定位“哪台机器正暴露在已知供应链风险之下”。
核心功能
- 纯只读扫描:不执行
npm ls、pip show或go list等耗时命令,不修改、不写入、不触发任何包管理器行为,零干扰开发环境 - 多源元数据聚合:自动识别并解析
package-lock.json、pyproject.toml、go.sum、VS Code 扩展 manifest、JetBrains 插件配置、MCP 工具服务 JSON 配置等 30+ 类本地元数据文件 - 三档扫描策略:提供
baseline(系统级工具/全局安装)、project(当前工作目录下的项目依赖)、deep(全盘递归扫描)三种模式,适配应急响应、CI 集成与日常巡检不同场景 - 暴露即刻标记:支持导入官方漏洞库(如 OSS Index、GitHub Advisory Database 的 NDJSON 格式),扫描时实时比对,直接高亮命中包名+精确版本,省去人工逐条核对
- 结构化输出友好集成:默认输出标准 NDJSON 流,每行一个组件记录(含来源路径、类型、名称、版本、语言生态),可无缝接入 SIEM、SOAR 或自建告警平台
- 开箱即用的静态二进制:单个 Go 编译二进制(<15MB),兼容 macOS ARM64/x86_64 和主流 Linux 发行版,无需安装 Go 环境或额外依赖
适合哪些人用
如果你是以下角色之一,Bumblebee 将成为你响应软件供应链安全事件的“第一响应工具”:
• 安全工程师 —— 在 Log4j、XZ Utils 等大规模漏洞爆发时,快速拉取全团队开发机暴露面清单;
• DevSecOps 工程师 —— 将其嵌入 CI 流水线,在 PR 合并前自动校验新增依赖是否在已知风险列表中;
• SRE/运维负责人 —— 定期扫描生产构建节点,确保 Jenkins/GitLab Runner 环境未残留高危旧版工具链;
• 独立开发者或小团队技术负责人 —— 无需部署复杂平台,一条命令即可掌握自己所有开发设备的安全基线。
快速上手
只需两步:
1. 下载二进制:访问 Releases 页面,下载对应系统的最新版 bumblebee(如 bumblebee-darwin-arm64);
2. 执行扫描:赋予执行权限后运行(示例为 macOS M1):chmod +x bumblebee-darwin-arm64 && ./bumblebee-darwin-arm64 scan --profile project | head -n 10
若需匹配漏洞库,先下载 NDJSON 格式曝光清单(如来自 GitHub Security Advisories 导出),再执行:./bumblebee-darwin-arm64 scan --catalog exposures.json | jq 'select(.match == true)'
项目信息
perplexityai/bumblebee
GitHub
Read-only developer endpoint scanner for on-disk package, extension, and developer-tool metadata, built to check exposure to known software supply-cha
1.2k
Stars
90
Forks
Go
Apache-2.0
编程语言:Go|Star 数:1151|开源协议:Apache-2.0|GitHub 项目地址
它不是另一个 SBOM 生成器,也不是实时 EDR,而是专为“已知威胁、未知位置”这一经典响应困境打造的轻量级答案——当时间就是安全边界时,Bumblebee 让每一次排查都快得理所当然。
