# bumblebee - 공급망 침해 노출 점검용 스캐너

> Clean Markdown view of GeekNews topic #30805. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=30805](https://news.hada.io/topic?id=30805)
- GeekNews Markdown: [https://news.hada.io/topic/30805.md](https://news.hada.io/topic/30805.md)
- Type: news
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2026-06-25T09:29:35+09:00
- Updated: 2026-06-25T09:29:35+09:00
- Original source: [github.com/perplexityai](https://github.com/perplexityai/bumblebee)
- Points: 4
- Comments: 0

## Topic Body

- 맥/리눅스 개발자 머신에서 **패키지/확장/개발 도구 메타데이터**를 수집해, 공급망 침해 발생 시 즉시 확인하는 읽기 전용 인벤토리 수집기  
- **SBOM**(무엇이 배포됐나) 과 **EDR**(무엇이 실행됐나)이 답하지 못하는 영역, 즉 lockfile/패키지 매니저 메타데이터/확장 매니페스트 등 흩어진 로컬 상태를 보는 별도 관점을 제공  
- 패키지 매니저를 실행하지 않고(`npm ls`, `pip show` 등 미실행) 소스 파일도 읽지 않으며, **메타데이터만 파싱**해 부작용 없이 점검만 수행  
- 흩어진 디스크 상태를 구조화된 **NDJSON 레코드**로 변환하고, 노출 카탈로그가 주어지면 `(ecosystem, name, version)` 정확 일치 항목을 finding 레코드로 표시  
- **세 가지 프로파일** 제공  
  - `baseline`: 전역/사용자 패키지 루트, 툴체인, 에디터/브라우저 확장, MCP 설정 대상  
  - `project`: `~/code`, `~/src`, `~/work` 등으로 구성된 개발 디렉터리  
  - `deep`: `$HOME` 포함 명시적 `--root` 대상  
- **광범위한 생태계 커버리지** 제공: npm/pnpm/Yarn/Bun, PyPI, Go modules, RubyGems, Composer, Homebrew, 그리고 에디터/브라우저 확장 까지 지원  
- **MCP 호스트 설정** 및 **Agent skills** 도 체크   
- Go 로 구현된 단일 정적 바이너리로 표준 라이브러리 외 의존성 없음  
- Apache-2.0 라이선스

## Comments



_No public comments on this page._