vet-mcp

Почему vet?

70-90% современного программного обеспечения — это код с открытым исходным кодом — как вы узнаете, что он безопасен?

Традиционные инструменты SCA перегружают вас шумом от CVE. vet использует другой подход:

• Обнаружение теневого ИИ — выявление сигналов использования инструментов ИИ в различных конфигурациях и средах

• Перехват вредоносного ПО до его распространения — обнаружение угроз нулевого дня с помощью статического и динамического поведенческого анализа (требуется доступ к SafeDep Cloud)

• Устранение шума уязвимостей — анализ фактического использования кода для выявления только тех рисков, которые действительно важны

• Политика как код — формулирование требований к безопасности, лицензиям и качеству в виде выражений CEL

• Интеграция CI/CD — защитные барьеры безопасности в CI/CD без необходимости настройки

Бесплатно для проектов с открытым исходным кодом. Облачная SaaS-версия доступна на SafeDep.

Related MCP server: vedit-mcp

Быстрый старт

Установка за секунды:

# macOS & Linux
brew install safedep/tap/vet

# Using npm
npm install -g @safedep/vet

или скачайте предварительно собранный бинарный файл

Начните работу немедленно:

# Scan for malware in your dependencies
vet scan -D . --malware-query

# Fail CI on critical vulnerabilities
vet scan -D . --filter 'vulns.critical.exists(p, true)' --filter-fail

# Get API key for advanced malware detection
vet cloud quickstart

Архитектура

vet следует конвейерной архитектуре: ридеры считывают манифесты пакетов из различных источников (директории, репозитории, образы контейнеров, SBOM), обогатители дополняют каждый пакет данными об уязвимостях, вредоносном ПО и показателями безопасности из SafeDep Cloud, движок политик CEL оценивает политики безопасности на основе обогащенных данных, а репортеры создают отчеты в форматах SARIF, JSON и Markdown.

graph TB
    subgraph "OSS Ecosystem"
        R1[npm Registry]
        R2[PyPI Registry]
        R3[Maven Central]
        R4[Other Registries]
    end

    subgraph "SafeDep Cloud"
        M[Continuous Monitoring]
        A[Real-time Code Analysis<br/>Malware Detection]
        T[Threat Intelligence DB<br/>Vulnerabilities • Malware • Scorecard]
    end

    subgraph "vet CLI"
        S[Source Repository<br/>Scanner]
        P[CEL Policy Engine]
        O[Reports & Actions<br/>SARIF/JSON/CSV]
    end

    R1 -->|New Packages| M
    R2 -->|New Packages| M
    R3 -->|New Packages| M
    R4 -->|New Packages| M
    M -->|Behavioral Analysis| A
    A -->|Malware Signals| T

    S -->|Query Package Info| T
    T -->|Security Intelligence| S
    S -->|Analysis Results| P
    P -->|Policy Decisions| O

    style M fill:#7CB9E8,stroke:#5A8DB8,color:#1a1a1a
    style A fill:#E8A87C,stroke:#B88A5A,color:#1a1a1a
    style T fill:#7CB9E8,stroke:#5A8DB8,color:#1a1a1a
    style S fill:#90C695,stroke:#6B9870,color:#1a1a1a
    style P fill:#E8C47C,stroke:#B89B5A,color:#1a1a1a
    style O fill:#B8A3D4,stroke:#9478AA,color:#1a1a1a

Ключевые особенности

Обнаружение вредоносных пакетов

Защита от вредоносных пакетов в реальном времени на базе SafeDep Cloud. Бесплатно для open-source проектов. Обнаруживает вредоносное ПО нулевого дня с помощью активного анализа кода.

Анализ уязвимостей

В отличие от сканеров зависимостей, которые перегружают вас шумом, vet анализирует фактическое использование кода, чтобы приоритизировать реальные риски. Подробности см. в руководстве по идентификации использования зависимостей.

Политика как код

Определяйте политики безопасности с помощью выражений CEL для обеспечения специфических требований:

# Block packages with critical CVEs
vet scan --filter 'vulns.critical.exists(p, true)' --filter-fail

# Enforce license compliance
vet scan --filter 'licenses.contains_license("GPL-3.0")' --filter-fail

# Require minimum OpenSSF Scorecard scores
vet scan --filter 'scorecard.scores.Maintained < 5' --filter-fail

Поддержка множества экосистем

Менеджеры пакетов: npm, PyPI, Maven, Go, Ruby, Rust, PHP Образы контейнеров: Docker, OCI Форматы SBOM: CycloneDX, SPDX Репозитории исходного кода: GitHub, GitLab

Обнаружение вредоносных пакетов

Защита от вредоносных пакетов в реальном времени с помощью активного сканирования и поведенческого анализа.

Быстрая настройка

# One-time setup for advanced scanning
vet cloud quickstart

# Scan for malware with active scanning (requires API key)
vet scan -D . --malware

# Query known malicious packages (no API key needed)
vet scan -D . --malware-query

Примеры обнаружений:

• MAL-2025-3541: express-cookie-parser

• MAL-2025-4339: eslint-config-airbnb-compat

• MAL-2025-4029: ts-runtime-compat-check

Ключевые функции безопасности:

• Анализ в реальном времени по базам известных вредоносных программ

• Поведенческий анализ с использованием статических и динамических методов

• Защита от угроз нулевого дня через активное сканирование кода

• Ручная проверка (human-in-the-loop) для критических находок

• Публичный журнал анализа для прозрачности

Продвинутое использование

# Specialized scans
vet scan --vsx --malware                    # VS Code extensions
vet scan -D .github/workflows --malware     # GitHub Actions
vet scan --image nats:2.10 --malware        # Container images

# Analyze specific packages
vet inspect malware --purl pkg:npm/nyc-config@10.0.0

Интеграции, готовые к продакшену

GitHub Actions

Защитные барьеры безопасности в CI/CD без настройки:

- uses: safedep/vet-action@v1
  with:
    policy: ".github/vet/policy.yml"

См. документацию vet-action.

GitLab CI

Корпоративное сканирование с помощью компонента CI vet:

include:
  - component: gitlab.com/safedep/ci-components/vet/scan@main

Интеграция с контейнерами

Запускайте vet где угодно, используя наш образ контейнера:

docker run --rm -v $(pwd):/app ghcr.io/safedep/vet:latest scan -D /app --malware

Установка

Homebrew (Рекомендуется)

brew install safedep/tap/vet

npm

npm install @safedep/vet

Прямая загрузка

См. релизы для получения предварительно собранных бинарных файлов.

Go Install

go install github.com/safedep/vet@latest

Образ контейнера

# Quick test
docker run --rm ghcr.io/safedep/vet:latest version

# Scan local directory
docker run --rm -v $(pwd):/workspace ghcr.io/safedep/vet:latest scan -D /workspace

Проверка установки

vet version
# Should display version and build information

Продвинутые функции

Узнайте больше в нашей подробной документации:

• Обнаружение использования ИИ - выявление сигналов использования инструментов ИИ в различных конфигурациях

• Режим ИИ-агента - запуск vet в качестве ИИ-агента

• MCP-сервер - запуск vet в качестве MCP-сервера для анализа кода с помощью ИИ

• Отчетность - форматы SARIF, JSON, CSV, HTML, Markdown

• Поддержка SBOM - импорт/экспорт CycloneDX, SPDX

• Режим запросов - сканируйте один раз, анализируйте многократно

• Интеграция с GitHub - сканирование репозиториев и организаций

• Закрепление GitHub Actions - закрепление GitHub Actions на SHA коммитов для предотвращения атак на цепочку поставок

Конфиденциальность

vet собирает анонимную телеметрию использования для улучшения продукта. Ваш код и информация о пакетах никогда не передаются.

# Disable telemetry (optional)
export VET_DISABLE_TELEMETRY=true

Сообщество и поддержка

Присоединяйтесь к сообществу

Получить помощь и поделиться идеями

• Интерактивное руководство - изучите vet на практике

• Полная документация - подробные руководства

• Сообщество в Discord - поддержка в реальном времени

• Трекер задач - отчеты об ошибках и запросы функций

• Руководство по участию - присоединяйтесь к разработке

История звезд

Создано с использованием Open Source

vet стоит на плечах гигантов:

OSV • OpenSSF Scorecard • SLSA • OSV-SCALIBR • Syft

Создано с любовью компанией SafeDep и сообществом open source