vet-mcp
vetはエージェントスキル用の特別なモードをサポートしています。
vet scan --agent-skill <owner/repo>を実行して、GitHubリポジトリでホストされているエージェントスキルをスキャンします。
なぜvetなのか?
現代のソフトウェアの70〜90%はオープンソースコードです — それが安全であることをどうやって確認しますか?
従来のSCAツールは、CVEのノイズであなたを溺れさせます。vetは異なるアプローチをとります:
シャドウAIの発見 — さまざまなツールや構成全体でAIツールの使用シグナルを発見します
出荷前にマルウェアを捕捉 — 静的および動的な振る舞い分析によるゼロデイ検出(SafeDep Cloudへのアクセスが必要)
脆弱性ノイズの削減 — 実際のコード使用状況を分析し、重要なリスクのみを浮き彫りにします
ポリシー・アズ・コードの強制 — セキュリティ、ライセンス、品質要件をCEL式として表現します
CI/CD統合 — CI/CDにおける設定不要のセキュリティガードレール
オープンソースは無料です。ホスト型SaaSはSafeDepで利用可能です。
Related MCP server: vedit-mcp
クイックスタート
数秒でインストール:
# macOS & Linux
brew install safedep/tap/vet
# Using npm
npm install -g @safedep/vetまたはビルド済みバイナリをダウンロードしてください
すぐに開始:
# Scan for malware in your dependencies
vet scan -D . --malware-query
# Fail CI on critical vulnerabilities
vet scan -D . --filter 'vulns.critical.exists(p, true)' --filter-fail
# Get API key for advanced malware detection
vet cloud quickstartアーキテクチャ
vetはパイプラインアーキテクチャに従います:リーダーが多様なソース(ディレクトリ、リポジトリ、コンテナイメージ、SBOM)からパッケージマニフェストを取り込み、エンリッチャーがSafeDep Cloudからの脆弱性、マルウェア、スコアカードデータで各パッケージを補強し、CELポリシーエンジンが補強されたデータに対してセキュリティポリシーを評価し、レポーターがSARIF、JSON、Markdownなどの形式で実用的な出力を生成します。
graph TB
subgraph "OSS Ecosystem"
R1[npm Registry]
R2[PyPI Registry]
R3[Maven Central]
R4[Other Registries]
end
subgraph "SafeDep Cloud"
M[Continuous Monitoring]
A[Real-time Code Analysis<br/>Malware Detection]
T[Threat Intelligence DB<br/>Vulnerabilities • Malware • Scorecard]
end
subgraph "vet CLI"
S[Source Repository<br/>Scanner]
P[CEL Policy Engine]
O[Reports & Actions<br/>SARIF/JSON/CSV]
end
R1 -->|New Packages| M
R2 -->|New Packages| M
R3 -->|New Packages| M
R4 -->|New Packages| M
M -->|Behavioral Analysis| A
A -->|Malware Signals| T
S -->|Query Package Info| T
T -->|Security Intelligence| S
S -->|Analysis Results| P
P -->|Policy Decisions| O
style M fill:#7CB9E8,stroke:#5A8DB8,color:#1a1a1a
style A fill:#E8A87C,stroke:#B88A5A,color:#1a1a1a
style T fill:#7CB9E8,stroke:#5A8DB8,color:#1a1a1a
style S fill:#90C695,stroke:#6B9870,color:#1a1a1a
style P fill:#E8C47C,stroke:#B89B5A,color:#1a1a1a
style O fill:#B8A3D4,stroke:#9478AA,color:#1a1a1a主な機能
悪意のあるパッケージの検出
SafeDep Cloudを活用した、悪意のあるパッケージに対するリアルタイム保護。 オープンソースプロジェクトは無料です。アクティブなコード分析を通じてゼロデイマルウェアを検出します。
脆弱性分析
ノイズで溢れかえる依存関係スキャナーとは異なり、vetはあなたの実際のコード使用状況を分析して、真のリスクを優先順位付けします。
詳細は依存関係の使用状況の証拠を参照してください。
ポリシー・アズ・コード
CEL式を使用してセキュリティポリシーを定義し、コンテキスト固有の要件を強制します:
# Block packages with critical CVEs
vet scan --filter 'vulns.critical.exists(p, true)' --filter-fail
# Enforce license compliance
vet scan --filter 'licenses.contains_license("GPL-3.0")' --filter-fail
# Require minimum OpenSSF Scorecard scores
vet scan --filter 'scorecard.scores.Maintained < 5' --filter-failマルチエコシステムサポート
パッケージマネージャー:npm、PyPI、Maven、Go、Ruby、Rust、PHP コンテナイメージ:Docker、OCI SBOM形式:CycloneDX、SPDX ソースリポジトリ:GitHub、GitLab
悪意のあるパッケージの検出
アクティブスキャンと振る舞い分析による、悪意のあるパッケージに対するリアルタイム保護。
クイックセットアップ
# One-time setup for advanced scanning
vet cloud quickstart
# Scan for malware with active scanning (requires API key)
vet scan -D . --malware
# Query known malicious packages (no API key needed)
vet scan -D . --malware-query検出例:
主なセキュリティ機能:
既知のマルウェアデータベースに対するリアルタイム分析
静的および動的分析を使用した振る舞い分析
アクティブなコードスキャンによるゼロデイ保護
影響の大きい調査結果に対する人間によるトリアージ
透明性のための公開分析ログ
高度な使用法
# Specialized scans
vet scan --vsx --malware # VS Code extensions
vet scan -D .github/workflows --malware # GitHub Actions
vet scan --image nats:2.10 --malware # Container images
# Analyze specific packages
vet inspect malware --purl pkg:npm/nyc-config@10.0.0本番環境対応の統合
GitHub Actions
CI/CDにおける設定不要のセキュリティガードレール:
- uses: safedep/vet-action@v1
with:
policy: ".github/vet/policy.yml"vet-actionのドキュメントを参照してください。
GitLab CI
vet CIコンポーネントによるエンタープライズスキャン:
include:
- component: gitlab.com/safedep/ci-components/vet/scan@mainコンテナ統合
コンテナイメージを使用してどこでもvetを実行:
docker run --rm -v $(pwd):/app ghcr.io/safedep/vet:latest scan -D /app --malwareインストール
Homebrew (推奨)
brew install safedep/tap/vetnpm
npm install @safedep/vet直接ダウンロード
ビルド済みバイナリについてはリリースを参照してください。
Go Install
go install github.com/safedep/vet@latestコンテナイメージ
# Quick test
docker run --rm ghcr.io/safedep/vet:latest version
# Scan local directory
docker run --rm -v $(pwd):/workspace ghcr.io/safedep/vet:latest scan -D /workspaceインストールの確認
vet version
# Should display version and build information高度な機能
包括的なドキュメントで詳細を確認してください:
AI使用状況の発見 - さまざまなツールや構成全体でAIツールの使用シグナルを発見します
AIエージェントモード - vetをAIエージェントとして実行します
MCPサーバー - AI支援コード分析のためにvetをMCPサーバーとして実行します
レポート - SARIF、JSON、CSV、HTML、Markdown形式
SBOMサポート - CycloneDX、SPDXのインポート/エクスポート
クエリモード - 一度スキャンして、複数回分析します
GitHub統合 - リポジトリと組織のスキャン
GitHub Actionsのピン留め - サプライチェーン攻撃を防ぐためにGitHub ActionsをコミットSHAにピン留めします
プライバシー
vetは製品を改善するために匿名の使用テレメトリを収集します。あなたのコードやパッケージ情報が送信されることはありません。
# Disable telemetry (optional)
export VET_DISABLE_TELEMETRY=trueコミュニティとサポート
コミュニティに参加する
ヘルプとアイデアの共有
インタラクティブチュートリアル - vetを実践的に学ぶ
完全なドキュメント - 包括的なガイド
Discordコミュニティ - リアルタイムサポート
Issueトラッカー - バグ報告と機能リクエスト
貢献ガイド - 開発に参加する
スターの履歴
オープンソースで構築
vetは巨人の肩の上に立っています:
OSV • OpenSSF Scorecard • SLSA • OSV-SCALIBR • Syft
SafeDepとオープンソースコミュニティによって愛を込めて作成されました
This server cannot be installed
Resources
Unclaimed servers have limited discoverability.
Looking for Admin?
If you are the server author, to access and configure the admin panel.
Appeared in Searches
Latest Blog Posts
MCP directory API
We provide all the information about MCP servers via our MCP API.
curl -X GET 'https://glama.ai/api/mcp/v1/servers/safedep/vet'
If you have feedback or need assistance with the MCP directory API, please join our Discord server