開発者マシンのセキュリティスキャン完全ガイド — Bumblebee/TruffleHog/OSV-Scannerで3つの脅威軸をカバーする

• URL: https://dev.classmethod.jp/articles/developer-machine-security-scan-bumblebee-trufflehog-osv-scanner/
• 日付: 2026-06-15
• Tier: Tier 3
• 要旨: MCP サーバーやコーディングエージェントが普及した今、開発者のローカルマシンが新たな攻撃面になっている。Bumblebee（サプライチェーン攻撃）、TruffleHog（シークレット漏洩）、OSV-Scanner（既知脆弱性）の 3 ツールで脅威軸を網羅的にカバーできる。

詳細

classmethod による開発者向けセキュリティガイド記事。

Bumblebee は Perplexity がオープンソースで公開した Go 製スキャナー。npm/PyPI などのパッケージだけでなく Claude Desktop や Cursor などの MCP 設定ファイルもスキャン対象にできる唯一の OSS ツール。コードを実行せず lockfile やメタデータだけを読むため安全。baseline/project/deep の 3 プロファイルがあり、NDJSON で出力するため jq と組み合わせて使う。

TruffleHog は設定ファイル内の平文 API キーや認証情報を検出する。OSV-Scanner は依存パッケージの既知 CVE を OSV.dev に照合する。3 ツールはそれぞれ異なる脅威軸を担当し守備範囲は重複しない。いずれも無料で利用できる。