vet-mcp

Warum vet?

70-90% moderner Software besteht aus Open-Source-Code — woher wissen Sie, dass er sicher ist?

Traditionelle SCA-Tools ertränken Sie im CVE-Rauschen. vet verfolgt einen anderen Ansatz:

• Shadow AI-Erkennung — Entdecken Sie Signale zur Nutzung von KI-Tools über verschiedene Tools und Konfigurationen hinweg

• Malware stoppen, bevor sie ausgeliefert wird — Zero-Day-Erkennung durch statische und dynamische Verhaltensanalyse (erfordert SafeDep Cloud-Zugriff)

• Vulnerabilitäts-Rauschen reduzieren — Analysiert die tatsächliche Code-Nutzung, um nur die Risiken aufzuzeigen, die wirklich wichtig sind

• Policy-as-Code durchsetzen — Definieren Sie Sicherheits-, Lizenz- und Qualitätsanforderungen als CEL-Ausdrücke

• CI/CD-Integration — Sicherheitsleitplanken ohne Konfigurationsaufwand in CI/CD

Kostenlos für Open Source. Gehostetes SaaS verfügbar unter SafeDep.

Related MCP server: vedit-mcp

Schnellstart

In Sekunden installieren:

# macOS & Linux
brew install safedep/tap/vet

# Using npm
npm install -g @safedep/vet

oder laden Sie ein vorkompiliertes Binary herunter

Sofort loslegen:

# Scan for malware in your dependencies
vet scan -D . --malware-query

# Fail CI on critical vulnerabilities
vet scan -D . --filter 'vulns.critical.exists(p, true)' --filter-fail

# Get API key for advanced malware detection
vet cloud quickstart

Architektur

vet folgt einer Pipeline-Architektur: Reader erfassen Paket-Manifeste aus verschiedenen Quellen (Verzeichnisse, Repositories, Container-Images, SBOMs), Enricher reichern jedes Paket mit Daten zu Schwachstellen, Malware und Scorecards aus der SafeDep Cloud an, die CEL-Policy-Engine bewertet Sicherheitsrichtlinien anhand der angereicherten Daten, und Reporter erstellen verwertbare Ausgaben in Formaten wie SARIF, JSON und Markdown.

graph TB
    subgraph "OSS Ecosystem"
        R1[npm Registry]
        R2[PyPI Registry]
        R3[Maven Central]
        R4[Other Registries]
    end

    subgraph "SafeDep Cloud"
        M[Continuous Monitoring]
        A[Real-time Code Analysis<br/>Malware Detection]
        T[Threat Intelligence DB<br/>Vulnerabilities • Malware • Scorecard]
    end

    subgraph "vet CLI"
        S[Source Repository<br/>Scanner]
        P[CEL Policy Engine]
        O[Reports & Actions<br/>SARIF/JSON/CSV]
    end

    R1 -->|New Packages| M
    R2 -->|New Packages| M
    R3 -->|New Packages| M
    R4 -->|New Packages| M
    M -->|Behavioral Analysis| A
    A -->|Malware Signals| T

    S -->|Query Package Info| T
    T -->|Security Intelligence| S
    S -->|Analysis Results| P
    P -->|Policy Decisions| O

    style M fill:#7CB9E8,stroke:#5A8DB8,color:#1a1a1a
    style A fill:#E8A87C,stroke:#B88A5A,color:#1a1a1a
    style T fill:#7CB9E8,stroke:#5A8DB8,color:#1a1a1a
    style S fill:#90C695,stroke:#6B9870,color:#1a1a1a
    style P fill:#E8C47C,stroke:#B89B5A,color:#1a1a1a
    style O fill:#B8A3D4,stroke:#9478AA,color:#1a1a1a

Hauptfunktionen

Erkennung bösartiger Pakete

Echtzeitschutz vor bösartigen Paketen, unterstützt durch SafeDep Cloud. Kostenlos für Open-Source-Projekte. Erkennt Zero-Day-Malware durch aktive Code-Analyse.

Schwachstellenanalyse

Im Gegensatz zu Abhängigkeitsscannern, die Sie mit Rauschen überfluten, analysiert vet Ihre tatsächliche Code-Nutzung, um echte Risiken zu priorisieren. Siehe Nachweise zur Abhängigkeitsnutzung für Details.

Policy as Code

Definieren Sie Sicherheitsrichtlinien mithilfe von CEL-Ausdrücken, um kontextspezifische Anforderungen durchzusetzen:

# Block packages with critical CVEs
vet scan --filter 'vulns.critical.exists(p, true)' --filter-fail

# Enforce license compliance
vet scan --filter 'licenses.contains_license("GPL-3.0")' --filter-fail

# Require minimum OpenSSF Scorecard scores
vet scan --filter 'scorecard.scores.Maintained < 5' --filter-fail

Unterstützung für mehrere Ökosysteme

Paketmanager: npm, PyPI, Maven, Go, Ruby, Rust, PHP Container-Images: Docker, OCI SBOM-Formate: CycloneDX, SPDX Quell-Repositories: GitHub, GitLab

Erkennung bösartiger Pakete

Echtzeitschutz vor bösartigen Paketen mit aktivem Scanning und Verhaltensanalyse.

Schnelleinrichtung

# One-time setup for advanced scanning
vet cloud quickstart

# Scan for malware with active scanning (requires API key)
vet scan -D . --malware

# Query known malicious packages (no API key needed)
vet scan -D . --malware-query

Beispiel-Erkennungen:

• MAL-2025-3541: express-cookie-parser

• MAL-2025-4339: eslint-config-airbnb-compat

• MAL-2025-4029: ts-runtime-compat-check

Wichtige Sicherheitsfunktionen:

• Echtzeitanalyse gegen bekannte Malware-Datenbanken

• Verhaltensanalyse mittels statischer und dynamischer Analyse

• Zero-Day-Schutz durch aktives Code-Scanning

• Human-in-the-loop-Triage für hochrelevante Funde

• Öffentliches Analyse-Log für Transparenz

Fortgeschrittene Nutzung

# Specialized scans
vet scan --vsx --malware                    # VS Code extensions
vet scan -D .github/workflows --malware     # GitHub Actions
vet scan --image nats:2.10 --malware        # Container images

# Analyze specific packages
vet inspect malware --purl pkg:npm/nyc-config@10.0.0

Produktionsreife Integrationen

GitHub Actions

Sicherheitsleitplanken ohne Konfigurationsaufwand in CI/CD:

- uses: safedep/vet-action@v1
  with:
    policy: ".github/vet/policy.yml"

Siehe vet-action Dokumentation.

GitLab CI

Unternehmensweites Scanning mit der vet CI-Komponente:

include:
  - component: gitlab.com/safedep/ci-components/vet/scan@main

Container-Integration

Führen Sie vet überall mit unserem Container-Image aus:

docker run --rm -v $(pwd):/app ghcr.io/safedep/vet:latest scan -D /app --malware

Installation

Homebrew (Empfohlen)

brew install safedep/tap/vet

npm

npm install @safedep/vet

Direkter Download

Siehe Releases für vorkompilierte Binaries.

Go Install

go install github.com/safedep/vet@latest

Container-Image

# Quick test
docker run --rm ghcr.io/safedep/vet:latest version

# Scan local directory
docker run --rm -v $(pwd):/workspace ghcr.io/safedep/vet:latest scan -D /workspace

Installation überprüfen

vet version
# Should display version and build information

Fortgeschrittene Funktionen

Erfahren Sie mehr in unserer umfassenden Dokumentation:

• KI-Nutzungserkennung - Entdecken Sie Signale zur Nutzung von KI-Tools über verschiedene Tools und Konfigurationen hinweg

• KI-Agenten-Modus - Führen Sie vet als KI-Agenten aus

• MCP-Server - Führen Sie vet als MCP-Server für KI-gestützte Code-Analyse aus

• Reporting - SARIF, JSON, CSV, HTML, Markdown-Formate

• SBOM-Unterstützung - CycloneDX, SPDX Import/Export

• Abfragemodus - Einmal scannen, mehrfach analysieren

• GitHub-Integration - Repository- und Organisations-Scanning

• GitHub Actions Pinning - Pinnen Sie GitHub Actions auf Commit-SHAs, um Angriffe auf die Lieferkette zu verhindern

Datenschutz

vet sammelt anonyme Nutzungstelemetrie, um das Produkt zu verbessern. Ihr Code und Ihre Paketinformationen werden niemals übertragen.

# Disable telemetry (optional)
export VET_DISABLE_TELEMETRY=true

Community & Support

Der Community beitreten

Hilfe erhalten & Ideen teilen

• Interaktives Tutorial - Lernen Sie vet praxisnah kennen

• Vollständige Dokumentation - Umfassende Anleitungen

• Discord-Community - Echtzeit-Support

• Issue-Tracker - Fehlerberichte & Funktionsanfragen

• Beitragsleitfaden - Werden Sie Teil der Entwicklung

Star-Verlauf

Erstellt mit Open Source

vet steht auf den Schultern von Giganten:

OSV • OpenSSF Scorecard • SLSA • OSV-SCALIBR • Syft

Mit Liebe erstellt von SafeDep und der Open-Source-Community