vet-mcp
vet는 에이전트 스킬(Agent Skills)을 위한 특수 모드를 지원합니다.
GitHub 저장소에 호스팅된 에이전트 스킬을 스캔하려면 vet scan --agent-skill <owner/repo>를 실행하세요.
왜 vet인가요?
현대 소프트웨어의 70-90%는 오픈 소스 코드입니다 — 이것이 안전하다는 것을 어떻게 알 수 있을까요?
기존의 SCA 도구는 CVE 노이즈로 사용자를 압도합니다. vet는 다른 접근 방식을 취합니다:
섀도우 AI 탐지 — 다양한 도구와 구성 전반에서 AI 도구 사용 신호를 발견합니다.
배포 전 악성코드 차단 — 정적 및 동적 행동 분석을 통한 제로데이 탐지 (SafeDep Cloud 액세스 필요)
취약점 노이즈 제거 — 실제 코드 사용량을 분석하여 중요한 위험만 표면화합니다.
정책을 코드로 강제 — 보안, 라이선스 및 품질 요구 사항을 CEL 표현식으로 정의합니다.
CI/CD 통합 — CI/CD 내 제로 구성 보안 가드레일
오픈 소스는 무료입니다. 호스팅된 SaaS는 SafeDep에서 이용 가능합니다.
Related MCP server: vedit-mcp
빠른 시작
초 단위 설치:
# macOS & Linux
brew install safedep/tap/vet
# Using npm
npm install -g @safedep/vet또는 사전 빌드된 바이너리를 다운로드하세요.
즉시 시작하기:
# Scan for malware in your dependencies
vet scan -D . --malware-query
# Fail CI on critical vulnerabilities
vet scan -D . --filter 'vulns.critical.exists(p, true)' --filter-fail
# Get API key for advanced malware detection
vet cloud quickstart아키텍처
vet는 파이프라인 아키텍처를 따릅니다: **리더(readers)**는 다양한 소스(디렉토리, 저장소, 컨테이너 이미지, SBOM)에서 패키지 매니페스트를 수집하고, **인리처(enrichers)**는 SafeDep Cloud의 취약점, 악성코드 및 스코어카드 데이터로 각 패키지를 보강하며, CEL 정책 엔진은 보강된 데이터에 대해 보안 정책을 평가하고, **리포터(reporters)**는 SARIF, JSON, Markdown과 같은 형식으로 실행 가능한 결과를 생성합니다.
graph TB
subgraph "OSS Ecosystem"
R1[npm Registry]
R2[PyPI Registry]
R3[Maven Central]
R4[Other Registries]
end
subgraph "SafeDep Cloud"
M[Continuous Monitoring]
A[Real-time Code Analysis<br/>Malware Detection]
T[Threat Intelligence DB<br/>Vulnerabilities • Malware • Scorecard]
end
subgraph "vet CLI"
S[Source Repository<br/>Scanner]
P[CEL Policy Engine]
O[Reports & Actions<br/>SARIF/JSON/CSV]
end
R1 -->|New Packages| M
R2 -->|New Packages| M
R3 -->|New Packages| M
R4 -->|New Packages| M
M -->|Behavioral Analysis| A
A -->|Malware Signals| T
S -->|Query Package Info| T
T -->|Security Intelligence| S
S -->|Analysis Results| P
P -->|Policy Decisions| O
style M fill:#7CB9E8,stroke:#5A8DB8,color:#1a1a1a
style A fill:#E8A87C,stroke:#B88A5A,color:#1a1a1a
style T fill:#7CB9E8,stroke:#5A8DB8,color:#1a1a1a
style S fill:#90C695,stroke:#6B9870,color:#1a1a1a
style P fill:#E8C47C,stroke:#B89B5A,color:#1a1a1a
style O fill:#B8A3D4,stroke:#9478AA,color:#1a1a1a주요 기능
악성 패키지 탐지
SafeDep Cloud 기반의 실시간 악성 패키지 보호 기능입니다. 오픈 소스 프로젝트는 무료입니다. 활성 코드 분석을 통해 제로데이 악성코드를 탐지합니다.
취약점 분석
노이즈를 쏟아내는 의존성 스캐너와 달리, vet는 사용자의 실제 코드 사용량을 분석하여 실제 위험의 우선순위를 정합니다.
자세한 내용은 의존성 사용 증거를 참조하세요.
정책을 코드로 (Policy as Code)
CEL 표현식을 사용하여 보안 정책을 정의하고 컨텍스트별 요구 사항을 강제합니다:
# Block packages with critical CVEs
vet scan --filter 'vulns.critical.exists(p, true)' --filter-fail
# Enforce license compliance
vet scan --filter 'licenses.contains_license("GPL-3.0")' --filter-fail
# Require minimum OpenSSF Scorecard scores
vet scan --filter 'scorecard.scores.Maintained < 5' --filter-fail다중 생태계 지원
패키지 관리자: npm, PyPI, Maven, Go, Ruby, Rust, PHP 컨테이너 이미지: Docker, OCI SBOM 형식: CycloneDX, SPDX 소스 저장소: GitHub, GitLab
악성 패키지 탐지
활성 스캔 및 행동 분석을 통한 실시간 악성 패키지 보호.
빠른 설정
# One-time setup for advanced scanning
vet cloud quickstart
# Scan for malware with active scanning (requires API key)
vet scan -D . --malware
# Query known malicious packages (no API key needed)
vet scan -D . --malware-query탐지 예시:
주요 보안 기능:
알려진 악성코드 데이터베이스에 대한 실시간 분석
정적 및 동적 분석을 사용한 행동 분석
활성 코드 스캔을 통한 제로데이 보호
고영향 발견 사항에 대한 인간 개입 트리아지
투명성을 위한 공개 분석 로그
고급 사용법
# Specialized scans
vet scan --vsx --malware # VS Code extensions
vet scan -D .github/workflows --malware # GitHub Actions
vet scan --image nats:2.10 --malware # Container images
# Analyze specific packages
vet inspect malware --purl pkg:npm/nyc-config@10.0.0프로덕션 준비 통합
GitHub Actions
CI/CD 내 제로 구성 보안 가드레일:
- uses: safedep/vet-action@v1
with:
policy: ".github/vet/policy.yml"vet-action 문서를 참조하세요.
GitLab CI
vet CI 컴포넌트를 통한 엔터프라이즈 스캔:
include:
- component: gitlab.com/safedep/ci-components/vet/scan@main컨테이너 통합
컨테이너 이미지를 사용하여 어디서나 vet를 실행하세요:
docker run --rm -v $(pwd):/app ghcr.io/safedep/vet:latest scan -D /app --malware설치
Homebrew (권장)
brew install safedep/tap/vetnpm
npm install @safedep/vet직접 다운로드
사전 빌드된 바이너리는 릴리스를 참조하세요.
Go 설치
go install github.com/safedep/vet@latest컨테이너 이미지
# Quick test
docker run --rm ghcr.io/safedep/vet:latest version
# Scan local directory
docker run --rm -v $(pwd):/workspace ghcr.io/safedep/vet:latest scan -D /workspace설치 확인
vet version
# Should display version and build information고급 기능
포괄적인 문서에서 자세히 알아보세요:
AI 사용 발견 - 다양한 도구와 구성 전반에서 AI 도구 사용 신호를 발견합니다.
AI 에이전트 모드 - vet를 AI 에이전트로 실행합니다.
MCP 서버 - AI 지원 코드 분석을 위해 vet를 MCP 서버로 실행합니다.
보고 - SARIF, JSON, CSV, HTML, Markdown 형식
SBOM 지원 - CycloneDX, SPDX 가져오기/내보내기
쿼리 모드 - 한 번 스캔하고 여러 번 분석합니다.
GitHub 통합 - 저장소 및 조직 스캔
GitHub Actions 고정 - 공급망 공격을 방지하기 위해 GitHub Actions를 커밋 SHA에 고정합니다.
개인정보 보호
vet는 제품 개선을 위해 익명화된 사용 원격 분석 데이터를 수집합니다. 귀하의 코드 및 패키지 정보는 절대 전송되지 않습니다.
# Disable telemetry (optional)
export VET_DISABLE_TELEMETRY=true커뮤니티 및 지원
커뮤니티 참여
도움 받기 및 아이디어 공유
대화형 튜토리얼 - vet를 직접 체험하며 배우기
전체 문서 - 포괄적인 가이드
Discord 커뮤니티 - 실시간 지원
이슈 트래커 - 버그 보고 및 기능 요청
기여 가이드 - 개발 참여
스타 기록
오픈 소스로 구축됨
vet는 거인의 어깨 위에 서 있습니다:
OSV • OpenSSF Scorecard • SLSA • OSV-SCALIBR • Syft
SafeDep과 오픈 소스 커뮤니티가 사랑으로 만들었습니다.
This server cannot be installed
Resources
Unclaimed servers have limited discoverability.
Looking for Admin?
If you are the server author, to access and configure the admin panel.
Appeared in Searches
Latest Blog Posts
MCP directory API
We provide all the information about MCP servers via our MCP API.
curl -X GET 'https://glama.ai/api/mcp/v1/servers/safedep/vet'
If you have feedback or need assistance with the MCP directory API, please join our Discord server