bumblebee

Bumblebee 是一个用于扫描开发人员终端上已安装包、扩展和开发工具元数据的只读工具，旨在检查是否存在已知软件供应链攻击的风险。它通过收集macOS和Linux系统上的本地状态信息，并将其转换为结构化的NDJSON组件记录来实现这一目标。当给定暴露目录时，Bumblebee能够快速标记出精确匹配项，以便进行快速、只读的暴露检查。该项目采用Go语言编写，依赖于Go 1.25+版本且无非标准库依赖。提供了三种扫描配置（基线、项目、深度）以适应不同场景的需求。Bumblebee适用于需要迅速响应供应链安全事件的企业或组织，在已知存在风险的情况下，帮助识别哪些开发机器上存在潜在威胁。