Jika kamu seorang programer*, pasti paham betapa seringnya terjadi serangan berbahaya terhadap rantai pasokan perangkat lunak. Contohnya termasuk kompromi paket Axios npm, serangan PyPI LiteLLM AI, dan gempuran CanisterSprawl npm.
Apa yang bisa dilakukan prog*er ketika bahkan fondasi programnya sendiri tidak bisa dipercaya? Ada beberapa pendekatan, dan yang terbaru datang dari Perplexity.
Menurut perusahaan AI tersebut, Bumblebee adalah "scanner hanya-baca yang kami gunakan untuk memeriksa mesin developer dari paket, ekstensi, dan konfigurasi alat AI yang berisiko selama insiden rantai pasokan." Perplexity menyatakan bahwa program ini adalah salah satu "alat internal yang kami gunakan untuk melindungi sistem developer di balik Perplexity, Comet, dan Computer."
Pertanyaan keamanan yang dijawab Bumblebee*
Alat ini dirancang untuk menjawab pertanyaan pertama yang muncul di benakmu setelah ada advisori rantai pasokan baru: Apakah programmer kami punya barang ini terinstal? Tidak perlu AI atau berlangganan. Program ini bertujuan mendeteksi masalah di laptop programmer.
Bumblebee berjalan di macOS dan Linux dan kini tersedia sebagai proyek Go open-source. Kamu bisa menghubungkan hasilnya ke sistem keamanan mana pun yang sudah kamu pakai. Alih-alih membidik kode atau perilaku runtime, Bumblebee berfokus pada empat permukaan spesifik. Perplexity menyatakan alat open-source yang ada cenderung hanya menangani satu atau dua permukaan ini, padahal Bumblebee menangan