Nel panorama moderno dello sviluppo software, gran parte del codice utilizzato proviene da pacchetti open source. Questo approccio accelera lo sviluppo, ma espone anche i progetti a rischi legati a vulnerabilità e malware. Vet, sviluppato da SafeDep, è uno strumento pensato per affrontare questa sfida: analizza i pacchetti utilizzati, rileva comportamenti sospetti e applica policy di sicurezza personalizzabili.
Vet non si limita a scansionare le dipendenze: analizza il modo in cui vengono utilizzate nel codice, riducendo il rumore e concentrandosi sui rischi reali. È compatibile con i principali ecosistemi di pacchetti, tra cui npm, PyPI, Maven, Go, Ruby, Rust, PHP, e supporta anche container Docker, immagini OCI e SBOM in formato CycloneDX e SPDX.
Funzionalità avanzate per sviluppatori e DevSecOps
Vet offre una serie di funzionalità pensate per chi lavora in ambienti DevSecOps. Tra queste, spicca la possibilità di definire policy di sicurezza come codice, utilizzando espressioni CEL (Common Expression Language). Questo consente di bloccare pacchetti con CVE critici, applicare regole di conformità sulle licenze, o escludere pacchetti provenienti da repository GitHub con pochi “star”.
L’integrazione con SafeDep Cloud permette la rilevazione in tempo reale di pacchetti malevoli, con protezione attiva e fallback in modalità offline. Vet può essere eseguito come server MCP per analizzare codice suggerito da AI, oppure come agente per interrogare e analizzare i risultati delle scansioni. È compatibile con GitHub Actions, GitLab CI e ambienti containerizzati, rendendolo ideale per pipeline di sicurezza automatizzate.
Installazione e utilizzo su Linux
Vet può essere installato facilmente su Linux tramite binari precompilati disponibili in questa pagina.
Per eseguire una scansione del progetto corrente:
vet scan -D
È possibile filtrare i risultati e far fallire la pipeline CI in base a criteri specifici:
vet scan -D . --filter 'vulns.critical.exists(p, true)' --filter-fail
Vet supporta anche la scansione di file manifest come package-lock.json, requirements.txt, pom.xml, go.mod e Gemfile.lock, oltre a immagini container e artefatti binari.
Report e analisi personalizzate
Vet genera report in vari formati, tra cui JSON, SARIF, Markdown e CSV, per adattarsi alle esigenze di sicurezza, sviluppo e compliance. È possibile esportare SBOM, visualizzare grafi delle dipendenze e creare report focalizzati su vulnerabilità, licenze o scorecard OpenSSF.
Per analisi ripetute su grandi codebase, Vet consente di salvare i dati di scansione e interrogarli successivamente con filtri diversi. Questo approccio migliora la scalabilità e consente di generare report mirati per stakeholder specifici.
Vet è la risposta open source alla sicurezza della supply chain
Vet rappresenta una soluzione moderna e potente per proteggere i progetti Linux da minacce legate alla supply chain software. Con analisi del codice, rilevazione di pacchetti malevoli, policy personalizzabili e integrazione CI/CD, offre tutto ciò che serve per costruire software sicuro e affidabile.
Per chi sviluppa su Linux, Vet è uno strumento da conoscere, installare e integrare nel proprio workflow. La sicurezza non è più un optional: con Vet, diventa parte integrante del processo di sviluppo.
