Skip to main content
Glama
deenesjakoruzh
safedep

vet-mcp

by safedep
OverviewSchemaRelated ServersScoreDiscussions
Go
Hybrid

Go Report Card License Release OpenSSF Scorecard SLSA 3 CodeQL

Ask DeepWiki

NOTE

vet 支持 Agent Skills 的特殊模式。 运行 vet scan --agent-skill <owner/repo> 以扫描托管在 GitHub 仓库中的 Agent Skill。

为什么选择 vet?

70-90% 的现代软件是开源代码 — 你如何确保它是安全的?

传统的 SCA 工具会让你淹没在 CVE 的噪音中。vet 采取了不同的方法:

  • 影子 AI 发现 — 发现跨各种工具和配置的 AI 工具使用信号

  • 在发布前捕获恶意软件 — 通过静态和动态行为分析进行零日检测(需要 SafeDep Cloud 访问权限)

  • 消除漏洞噪音 — 分析实际代码使用情况,仅呈现重要的风险

  • 强制执行策略即代码 — 将安全、许可和质量要求表示为 CEL 表达式

  • CI/CD 集成 — CI/CD 中的零配置安全护栏

开源免费。托管 SaaS 可在 SafeDep 获取。

Related MCP server: vedit-mcp

快速开始

秒级安装:

# macOS & Linux
brew install safedep/tap/vet

# Using npm
npm install -g @safedep/vet

或下载 预构建二进制文件

立即开始:

# Scan for malware in your dependencies
vet scan -D . --malware-query

# Fail CI on critical vulnerabilities
vet scan -D . --filter 'vulns.critical.exists(p, true)' --filter-fail

# Get API key for advanced malware detection
vet cloud quickstart

架构

vet 遵循流水线架构:读取器 (readers) 从不同来源(目录、仓库、容器镜像、SBOM)摄取包清单,增强器 (enrichers) 使用来自 SafeDep Cloud 的漏洞、恶意软件和记分卡数据增强每个包,CEL 策略引擎 根据增强数据评估安全策略,报告器 (reporters) 以 SARIF、JSON 和 Markdown 等格式生成可操作的输出。

graph TB
    subgraph "OSS Ecosystem"
        R1[npm Registry]
        R2[PyPI Registry]
        R3[Maven Central]
        R4[Other Registries]
    end

    subgraph "SafeDep Cloud"
        M[Continuous Monitoring]
        A[Real-time Code Analysis<br/>Malware Detection]
        T[Threat Intelligence DB<br/>Vulnerabilities • Malware • Scorecard]
    end

    subgraph "vet CLI"
        S[Source Repository<br/>Scanner]
        P[CEL Policy Engine]
        O[Reports & Actions<br/>SARIF/JSON/CSV]
    end

    R1 -->|New Packages| M
    R2 -->|New Packages| M
    R3 -->|New Packages| M
    R4 -->|New Packages| M
    M -->|Behavioral Analysis| A
    A -->|Malware Signals| T

    S -->|Query Package Info| T
    T -->|Security Intelligence| S
    S -->|Analysis Results| P
    P -->|Policy Decisions| O

    style M fill:#7CB9E8,stroke:#5A8DB8,color:#1a1a1a
    style A fill:#E8A87C,stroke:#B88A5A,color:#1a1a1a
    style T fill:#7CB9E8,stroke:#5A8DB8,color:#1a1a1a
    style S fill:#90C695,stroke:#6B9870,color:#1a1a1a
    style P fill:#E8C47C,stroke:#B89B5A,color:#1a1a1a
    style O fill:#B8A3D4,stroke:#9478AA,color:#1a1a1a

核心功能

恶意包检测

SafeDep Cloud 提供支持的实时恶意包防护。 开源项目免费。通过主动代码分析检测零日恶意软件。

漏洞分析

与用噪音淹没你的依赖扫描器不同,vet 分析你的实际代码使用情况以优先处理真实风险。 详情请参阅 依赖使用证据

策略即代码

使用 CEL 表达式定义安全策略,以强制执行特定于上下文的要求:

# Block packages with critical CVEs
vet scan --filter 'vulns.critical.exists(p, true)' --filter-fail

# Enforce license compliance
vet scan --filter 'licenses.contains_license("GPL-3.0")' --filter-fail

# Require minimum OpenSSF Scorecard scores
vet scan --filter 'scorecard.scores.Maintained < 5' --filter-fail

多生态系统支持

包管理器:npmPyPIMavenGoRubyRustPHP 容器镜像:DockerOCI SBOM 格式:CycloneDXSPDX 源代码仓库:GitHubGitLab

恶意包检测

针对恶意包的实时防护,具有主动扫描和行为分析功能。

快速设置

# One-time setup for advanced scanning
vet cloud quickstart

# Scan for malware with active scanning (requires API key)
vet scan -D . --malware

# Query known malicious packages (no API key needed)
vet scan -D . --malware-query

检测示例:

关键安全特性:

  • 针对已知恶意软件数据库的实时分析

  • 使用静态和动态分析的行为分析

  • 通过主动代码扫描实现零日防护

  • 针对高影响发现的人机协同分类

  • 公开的 分析日志 以确保透明度

高级用法

# Specialized scans
vet scan --vsx --malware                    # VS Code extensions
vet scan -D .github/workflows --malware     # GitHub Actions
vet scan --image nats:2.10 --malware        # Container images

# Analyze specific packages
vet inspect malware --purl pkg:npm/nyc-config@10.0.0

生产就绪集成

GitHub Actions

CI/CD 中的零配置安全护栏:

- uses: safedep/vet-action@v1
  with:
    policy: ".github/vet/policy.yml"

请参阅 vet-action 文档。

GitLab CI

使用 vet CI 组件 进行企业级扫描:

include:
  - component: gitlab.com/safedep/ci-components/vet/scan@main

容器集成

使用我们的容器镜像在任何地方运行 vet

docker run --rm -v $(pwd):/app ghcr.io/safedep/vet:latest scan -D /app --malware

安装

Homebrew (推荐)

brew install safedep/tap/vet

npm

npm install @safedep/vet

直接下载

请参阅 发布页面 获取预构建二进制文件。

Go 安装

go install github.com/safedep/vet@latest

容器镜像

# Quick test
docker run --rm ghcr.io/safedep/vet:latest version

# Scan local directory
docker run --rm -v $(pwd):/workspace ghcr.io/safedep/vet:latest scan -D /workspace

验证安装

vet version
# Should display version and build information

高级功能

在我们的综合文档中了解更多:

隐私

vet 收集匿名使用遥测数据以改进产品。您的代码和包信息绝不会被传输。

# Disable telemetry (optional)
export VET_DISABLE_TELEMETRY=true

社区与支持

加入社区

Discord GitHub Discussions Twitter Follow

获取帮助与分享想法

Star 历史

Star History Chart

基于开源构建

vet 站在巨人的肩膀上:

OSVOpenSSF ScorecardSLSAOSV-SCALIBRSyft

SafeDep 和开源社区倾情打造

This server cannot be installed

-
security - not tested
A
license - permissive license
-
quality - not tested

How are these scores calculated?

Resources

Unclaimed servers have limited discoverability.

Looking for Admin?

If you are the server author, to access and configure the admin panel.

Appeared in Searches

Latest Blog Posts

MCP directory API

We provide all the information about MCP servers via our MCP API.

curl -X GET 'https://glama.ai/api/mcp/v1/servers/safedep/vet'

If you have feedback or need assistance with the MCP directory API, please join our Discord server