Semgrep MCP Server

Semgrep MCP Server

Semgrep MCP Server将Semgrep强大的静态代码分析功能整合到模型上下文协议生态系统中,使大型语言模型、代理和集成开发环境能够通过标准化接口扫描、理解和与代码交互,以识别安全漏洞和获取代码见解。

Author: semgrep


查看协议

什么是Semgrep MCP Server?

Semgrep MCP Server是一个专用的MCP服务器,它以可调用的操作(工具)形式公开Semgrep的静态分析工具,这些操作可供支持MCP标准的LLM、代理和应用访问。它允许从如IDE(Cursor、VS Code)、聊天机器人(ChatGPT)和代理框架等环境中无缝、自动地进行代码安全扫描、理解和规则管理。

如何配置Semgrep MCP Server

  • 安装Python包:
    使用pipx或您喜欢的Python工具:
    pipx install semgrep-mcp
  • 设置服务器:
    通过CLI运行uvx semgrep-mcp或作为Docker容器运行:
    docker run -i --rm ghcr.io/semgrep/mcp -t stdio
  • 与您的环境集成:
    • 对于Cursor或VS Code等IDE,编辑MCP配置文件(如.cursor/mcp.json.vscode/mcp.json),添加: 
      {
  "mcpServers": {
    "semgrep": {
      "command": "uvx",
      "args": ["semgrep-mcp"]
    }
  }
}
    • 对于云托管连接,将MCP服务器URL设置为https://mcp.semgrep.ai/mcp,或使用SSE连接https://mcp.semgrep.ai/sse以保持向后兼容。
    • 应用安全平台集成:
      生成Semgrep AppSec API令牌,然后将其添加为环境变量:
      export SEMGREP_APP_TOKEN=<token>
      对于Docker,请使用-e SEMGREP_APP_TOKEN=<token>添加。

如何使用Semgrep MCP Server

  1. 启动服务器, 使用您喜欢的传输方式(stdio、streamable-http或SSE)。
  2. 通过支持MCP的IDE或LLM框架连接, 确保其配置为访问您的本地或远程服务器实例。
  3. 从连接的接口直接调用工具, 如代码扫描或AST生成(例如,问您的LLM:“使用Semgrep扫描此代码中的安全漏洞”)。
  4. 接收可操作的结果, LLM、代理和用户将收到有关代码问题、发现或见解的详细输出,完美融入您的开发工作流程。

主要功能

  • 即时代码漏洞扫描, 直接从LLM或工具使用Semgrep。
  • 多种部署选项: 本地CLI、Docker和云托管端点。
  • 广泛集成: 集成至IDE(Cursor、VS Code、Claude Desktop)、聊天机器人(ChatGPT)和代理SDK。
  • 工具发现和执行: 通过MCP端点动态列出和调用Semgrep工具。
  • 访问代码见解: 提取抽象语法树、支持语言列表和规则模式。
  • 自定义规则使用: 使用自定义Semgrep规则分析代码,以满足高级用例。
  • 安全认证和应用安全平台集成, 适用于管理企业环境。

使用场景

  • 自动化代码审查: 将实时Semgrep扫描融入AI代理,在拉取请求审核、代码生成或IDE建议中使用。
  • 安全审计自动化: 启用安全工作流程,让LLM/代理自动或按需扫描项目文件以查找漏洞。
  • LLM增强的规则编写: 利用LLM帮助起草、验证并将自定义Semgrep规则应用到代码库。
  • DevSecOps pipeline增强: 将MCP驱动的Semgrep扫描添加到CI/CD或开发环境,以提供即时、可操作的反馈。
  • 互动学习和解释: 使用抽象语法树和提示工具在教育工具或聊天机器人中教授或解释代码语义。

常见问题

问1:Semgrep MCP Server支持哪些编程语言?
服务器支持上游Semgrep中可用的所有语言,如Python、JavaScript、Go、Java等。使用supported_languages工具获取当前列表。

问2:可以在没有云账户或令牌的情况下使用Semgrep MCP Server吗?
可以,核心代码扫描和理解工具可以在本地无认证工作。用于Semgrep应用安全平台(如云发现)的高级功能需要API令牌。

问3:支持哪些通信协议?
Semgrep MCP Server支持stdlib(用于CLI/本地)、可流式HTTP(推荐用于新集成)和服务器发送事件(向后兼容)。

问4:如何将Semgrep MCP Server连接到ChatGPT或VS Code?
在连接器或编辑器设置中设置MCP服务器URL(例如,https://mcp.semgrep.ai/sse适用于ChatGPT,或更新.vscode/mcp.json适用于VS Code)。

问5:LLM可以自动创建和使用自定义Semgrep规则吗?
可以,使用提供的工具,如semgrep_scan_with_custom_rule和提示生成器,LLM/代理可以动态编写和应用新规则。