vet-mcp

¿Por qué vet?

El 70-90% del software moderno es código de código abierto — ¿cómo sabe que es seguro?

Las herramientas SCA tradicionales le ahogan en el ruido de las CVE. vet adopta un enfoque diferente:

• Descubrimiento de Shadow AI — Descubra señales de uso de herramientas de IA en diversas herramientas y configuraciones

• Detecte malware antes de que se distribuya — Detección de día cero mediante análisis de comportamiento estático y dinámico (requiere acceso a SafeDep Cloud)

• Elimine el ruido de las vulnerabilidades — Analiza el uso real del código para mostrar solo los riesgos que importan

• Aplique políticas como código — Exprese los requisitos de seguridad, licencia y calidad como expresiones CEL

• Integración CI/CD — Barreras de seguridad de configuración cero en CI/CD

Gratis para código abierto. SaaS alojado disponible en SafeDep.

Related MCP server: vedit-mcp

Inicio rápido

Instale en segundos:

# macOS & Linux
brew install safedep/tap/vet

# Using npm
npm install -g @safedep/vet

o descargue un binario precompilado

Empiece de inmediato:

# Scan for malware in your dependencies
vet scan -D . --malware-query

# Fail CI on critical vulnerabilities
vet scan -D . --filter 'vulns.critical.exists(p, true)' --filter-fail

# Get API key for advanced malware detection
vet cloud quickstart

Arquitectura

vet sigue una arquitectura de canalización: los lectores ingieren manifiestos de paquetes de diversas fuentes (directorios, repositorios, imágenes de contenedor, SBOM), los enriquecedores aumentan cada paquete con datos de vulnerabilidad, malware y scorecard de SafeDep Cloud, el motor de políticas CEL evalúa las políticas de seguridad frente a los datos enriquecidos, y los reporteros producen resultados procesables en formatos como SARIF, JSON y Markdown.

graph TB
    subgraph "OSS Ecosystem"
        R1[npm Registry]
        R2[PyPI Registry]
        R3[Maven Central]
        R4[Other Registries]
    end

    subgraph "SafeDep Cloud"
        M[Continuous Monitoring]
        A[Real-time Code Analysis<br/>Malware Detection]
        T[Threat Intelligence DB<br/>Vulnerabilities • Malware • Scorecard]
    end

    subgraph "vet CLI"
        S[Source Repository<br/>Scanner]
        P[CEL Policy Engine]
        O[Reports & Actions<br/>SARIF/JSON/CSV]
    end

    R1 -->|New Packages| M
    R2 -->|New Packages| M
    R3 -->|New Packages| M
    R4 -->|New Packages| M
    M -->|Behavioral Analysis| A
    A -->|Malware Signals| T

    S -->|Query Package Info| T
    T -->|Security Intelligence| S
    S -->|Analysis Results| P
    P -->|Policy Decisions| O

    style M fill:#7CB9E8,stroke:#5A8DB8,color:#1a1a1a
    style A fill:#E8A87C,stroke:#B88A5A,color:#1a1a1a
    style T fill:#7CB9E8,stroke:#5A8DB8,color:#1a1a1a
    style S fill:#90C695,stroke:#6B9870,color:#1a1a1a
    style P fill:#E8C47C,stroke:#B89B5A,color:#1a1a1a
    style O fill:#B8A3D4,stroke:#9478AA,color:#1a1a1a

Características clave

Detección de paquetes maliciosos

Protección en tiempo real contra paquetes maliciosos impulsada por SafeDep Cloud. Gratis para proyectos de código abierto. Detecta malware de día cero mediante análisis de código activo.

Análisis de vulnerabilidades

A diferencia de los escáneres de dependencias que le inundan de ruido, vet analiza su uso real del código para priorizar los riesgos reales. Consulte evidencia de uso de dependencias para obtener más detalles.

Políticas como código

Defina políticas de seguridad utilizando expresiones CEL para aplicar requisitos específicos del contexto:

# Block packages with critical CVEs
vet scan --filter 'vulns.critical.exists(p, true)' --filter-fail

# Enforce license compliance
vet scan --filter 'licenses.contains_license("GPL-3.0")' --filter-fail

# Require minimum OpenSSF Scorecard scores
vet scan --filter 'scorecard.scores.Maintained < 5' --filter-fail

Soporte multi-ecosistema

Gestores de paquetes: npm, PyPI, Maven, Go, Ruby, Rust, PHP Imágenes de contenedor: Docker, OCI Formatos SBOM: CycloneDX, SPDX Repositorios de origen: GitHub, GitLab

Detección de paquetes maliciosos

Protección en tiempo real contra paquetes maliciosos con escaneo activo y análisis de comportamiento.

Configuración rápida

# One-time setup for advanced scanning
vet cloud quickstart

# Scan for malware with active scanning (requires API key)
vet scan -D . --malware

# Query known malicious packages (no API key needed)
vet scan -D . --malware-query

Ejemplos de detecciones:

• MAL-2025-3541: express-cookie-parser

• MAL-2025-4339: eslint-config-airbnb-compat

• MAL-2025-4029: ts-runtime-compat-check

Características de seguridad clave:

• Análisis en tiempo real frente a bases de datos de malware conocidas

• Análisis de comportamiento mediante análisis estático y dinámico

• Protección de día cero mediante escaneo de código activo

• Triaje con intervención humana para hallazgos de alto impacto

• Registro de análisis público para mayor transparencia

Uso avanzado

# Specialized scans
vet scan --vsx --malware                    # VS Code extensions
vet scan -D .github/workflows --malware     # GitHub Actions
vet scan --image nats:2.10 --malware        # Container images

# Analyze specific packages
vet inspect malware --purl pkg:npm/nyc-config@10.0.0

Integraciones listas para producción

GitHub Actions

Barreras de seguridad de configuración cero en CI/CD:

- uses: safedep/vet-action@v1
  with:
    policy: ".github/vet/policy.yml"

Consulte la documentación de vet-action.

GitLab CI

Escaneo empresarial con vet CI Component:

include:
  - component: gitlab.com/safedep/ci-components/vet/scan@main

Integración de contenedores

Ejecute vet en cualquier lugar usando nuestra imagen de contenedor:

docker run --rm -v $(pwd):/app ghcr.io/safedep/vet:latest scan -D /app --malware

Instalación

Homebrew (Recomendado)

brew install safedep/tap/vet

npm

npm install @safedep/vet

Descarga directa

Consulte los lanzamientos para obtener binarios precompilados.

Go Install

go install github.com/safedep/vet@latest

Imagen de contenedor

# Quick test
docker run --rm ghcr.io/safedep/vet:latest version

# Scan local directory
docker run --rm -v $(pwd):/workspace ghcr.io/safedep/vet:latest scan -D /workspace

Verificar instalación

vet version
# Should display version and build information

Características avanzadas

Obtenga más información en nuestra documentación completa:

• Descubrimiento de uso de IA - Descubra señales de uso de herramientas de IA en diversas herramientas y configuraciones

• Modo Agente de IA - Ejecute vet como un agente de IA

• Servidor MCP - Ejecute vet como un servidor MCP para análisis de código asistido por IA

• Informes - Formatos SARIF, JSON, CSV, HTML, Markdown

• Soporte SBOM - Importación/exportación de CycloneDX, SPDX

• Modo de consulta - Escanee una vez, analice varias veces

• Integración con GitHub - Escaneo de repositorios y organizaciones

• Fijación de GitHub Actions - Fije GitHub Actions a SHAs de confirmación para evitar ataques a la cadena de suministro

Privacidad

vet recopila telemetría de uso anónima para mejorar el producto. Su código y la información de sus paquetes nunca se transmiten.

# Disable telemetry (optional)
export VET_DISABLE_TELEMETRY=true

Comunidad y soporte

Únase a la comunidad

Obtenga ayuda y comparta ideas

• Tutorial interactivo - Aprenda vet de forma práctica

• Documentación completa - Guías completas

• Comunidad de Discord - Soporte en tiempo real

• Rastreador de problemas - Informes de errores y solicitudes de funciones

• Guía de contribución - Únase al desarrollo

Historial de estrellas

Construido con código abierto

vet se apoya en hombros de gigantes:

OSV • OpenSSF Scorecard • SLSA • OSV-SCALIBR • Syft

Creado con amor por SafeDep y la comunidad de código abierto