Trivial

Complemento de servidor Trivy MCP

Este complemento inicia un servidor de Protocolo de contexto de modelo (MCP) que integra las capacidades de escaneo de seguridad de Trivy con VS Code y otras herramientas habilitadas para MCP.

[!IMPORTANTE] Este es un desarrollo de etapa temprana del servidor MCP, por lo que debes asumir que las cosas no funcionarán bien por ahora.

Características

Escaneo de lenguaje natural : haga preguntas sobre problemas de seguridad en lenguaje natural
Múltiples tipos de escaneo :
- Escaneo del sistema de archivos para proyectos locales
- Escaneo de vulnerabilidades de imágenes de contenedores
- Análisis de seguridad del repositorio remoto
Integración con la plataforma Aqua : integración opcional con la plataforma de Aqua Security para capacidades de escaneo mejoradas
Transporte flexible : compatibilidad con los protocolos de transporte stdio y SSE (eventos enviados por el servidor)
Integración con VS Code : integración perfecta con la interfaz de chat de VS Code

Instalación del complemento

Para instalar el complemento puedes utilizar el sistema de gestión de complementos de Trivy

trivy plugin install mcp

Instalará la última versión del complemento.

Iniciando el complemento

Ya está listo para iniciar el complemento. Esto iniciará un servidor MCP con el que Cursor o VSCode pueden interactuar. Por ahora, las instrucciones se centrarán en VSCode.

trivy mcp

Opciones disponibles

Opción	Valores	Por defecto	Descripción
`--transport` / `-t`	`sse` , `stdio`	`stdio`	Protocolo de transporte para el servidor MCP
`--port` / `-p`		23456	Puerto para el modo de transporte SSE
`--trivy-binary`			Ruta binaria de Trivy personalizada (opcional)
`--use-aqua-platform` / `a`	`true/false`	`false`	Habilitar la integración de Aqua Platform
`--debug`	`true/false`	`false`	Habilitar el registro de depuración

Autenticación

El servidor MCP admite la integración con Aqua Platform a través del subcomando auth :

# Save Aqua Platform credentials
trivy mcp auth login --key "YOUR_AQUA_KEY" --secret "YOUR_AQUA_SECRET" --region "YOUR_REGION"

# Clear saved credentials
trivy mcp auth logout

# Verify saved credentials
trivy mcp auth status

Opciones de autorización disponibles

Opción	Descripción
`--key`	Clave API de Aqua Platform
`--secret`	Secreto de la API de Aqua Platform
`--region`	Región de la Plataforma Aqua (por ejemplo, 'us-east-1')

Después de configurar las credenciales, puede utilizar las funciones de Aqua Platform iniciando el servidor con el indicador --use-aqua-platform :

trivy mcp --use-aqua-platform

Las credenciales se almacenan de forma segura en la cadena de claves específica de la plataforma.

Configuración del servidor MCP en VSCode

Ahora, necesitamos configurar el servidor en VSCode para comenzar a usarlo como agente.

Prerrequisitos

= versión 1.99.0 de VS Code

Configurando el complemento

Puede configurar Trivy mcp para que se inicie automáticamente o utilice el punto final http sse

Configuración para stdio

En VS Code, presione F1
Buscar "Preferences: Open User Settings (JSON)"
Busque o cree el bloque "mcp" y agregue un servidor como se muestra a continuación
"mcp": { "servers": { "Trivy MCP": { "command": "trivy", "args": [ "mcp", "-t", "stdio" ] } } }
Al guardar, aparecerá una anotación para Start el servidor.

Configuración para SSE HTTP

Iniciar el servidor MCP
trivy mcp -t sse -p 23456
En VS Code, presione F1
Buscar "Preferences: Open User Settings (JSON)"
Busque o cree el bloque "mcp" y agregue un servidor como se muestra a continuación
"mcp": { "servers": { "Trivy SSE": { "type": "sse", "url": "http://localhost:23456/sse" } } }
Al guardar, aparecerá una anotación para Start el servidor.

Consultas de ejemplo

[!IMPORTANTE] Asegúrate de usar la ventana de chat en modo Agent , no en modo Ask

Análisis de proyectos locales

Are there any vulnerabilities or misconfigurations in this project?

Find all HIGH severity vulnerabilities in this codebase

Generate a CycloneDX SBOM for this project

Escaneo de imágenes de contenedores

Does the python:3.12 image have any vulnerabilities?

Show me all critical security issues in the nginx:latest image

What are the licenses used by dependencies in the node:18 image?

Análisis del repositorio

What are the vulnerabilities in github.com/aquasecurity/trivy-ci-test?

Check for misconfigurations in kubernetes/kubernetes repository

Uso avanzado

Scan this project for secrets and license issues only

Generate an SPDX SBOM and show me any dependency vulnerabilities

What security issues were fixed in the latest version of this image?

Trivy