Semgrep Mcp Сервер

Что такое MCP?

MCP, или Многокомпонентная Платформа, — это сервер, предназначенный для использования Semgrep для сканирования кода с целью выявления уязвимостей в безопасности. Он служит мощным инструментом для разработчиков и специалистов по безопасности, позволяя им обеспечивать целостность и безопасность своих кодовых баз, выявляя потенциальные проблемы безопасности на ранних этапах разработки.

Особенности MCP

• Сканирование безопасности: MCP использует возможности Semgrep для сканирования кода на наличие различных уязвимостей в безопасности, помогая командам поддерживать безопасные практики кодирования.
• Удобный интерфейс: Платформа предлагает интуитивно понятный интерфейс, который упрощает процесс сканирования, делая его доступным для пользователей всех уровней подготовки.
• Интеграция с CI/CD: MCP можно интегрировать в конвейеры Непрерывной Интеграции и Непрерывного Развертывания (CI/CD), позволяя автоматизировать проверки безопасности в рамках рабочего процесса разработки.
• Настраиваемые правила: Пользователи могут определять пользовательские правила, адаптированные к их конкретным требованиям безопасности, что повышает эффективность процесса сканирования.
• Обратная связь в реальном времени: Платформа предоставляет немедленную обратную связь по уязвимостям кода, позволяя разработчикам быстро устранять проблемы.

Как использовать MCP

1. Настройте вашу среду: Начните с установки MCP на ваш сервер или локальную машину. Следуйте инструкциям по установке, приведенным в документации.
2. Настройте ваш проект: Создайте новый проект в MCP и настройте необходимые параметры, включая используемые языки программирования и фреймворки.
3. Определите правила сканирования: Используйте встроенные правила или создайте пользовательские правила, которые отражают политику безопасности вашей организации.
4. Запустите сканирование: Инициируйте сканирование вашей кодовой базы. MCP проанализирует код и выявит любые уязвимости на основе определенных правил.
5. Просмотрите результаты: После завершения сканирования просмотрите результаты, чтобы понять выявленные уязвимости. Платформа предоставит подробную информацию о каждой проблеме.
6. Устраните уязвимости: Устраните выявленные уязвимости в вашем коде. Используйте обратную связь, предоставленную MCP, чтобы направить ваши усилия по устранению.
7. Интегрируйте в CI/CD: Для постоянного обеспечения безопасности интегрируйте MCP в ваш конвейер CI/CD, чтобы автоматизировать сканирование с каждым изменением кода.

Часто задаваемые вопросы

Какие языки программирования поддерживает MCP?

MCP поддерживает широкий спектр языков программирования, включая, но не ограничиваясь, Python, JavaScript, Java и Go. Проверьте документацию для получения полного списка поддерживаемых языков.

Является ли MCP открытым исходным кодом?

Да, MCP является проектом с открытым исходным кодом, что позволяет пользователям вносить вклад в его разработку и настраивать его в соответствии с их потребностями.

Как я могу сообщить о найденной уязвимости в MCP?

Если вы обнаружите уязвимость в самом MCP, пожалуйста, сообщите об этом через трекер проблем проекта на GitHub. Предоставьте подробную информацию, чтобы помочь поддерживающим быстро решить проблему.

Могу ли я использовать MCP для коммерческих проектов?

Абсолютно! MCP предназначен как для личного, так и для коммерческого использования, что делает его универсальным инструментом для разработчиков и организаций.

Где я могу найти больше информации о MCP?

Для получения дополнительной информации посетите официальный сайт MCP по адресу mcp.semgrep.ai или проверьте репозиторий GitHub для получения документации и обновлений.

<p align="center"> <a href="https://semgrep.dev"> <picture> <source media="(prefers-color-scheme: light)" srcset="images/semgrep-logo-light.svg"> <source media="(prefers-color-scheme: dark)" srcset="images/semgrep-logo-dark.svg"> <img src="https://raw.githubusercontent.com/semgrep/mcp/main/images/semgrep-logo-light.svg" height="60" alt="Semgrep logo"/> </picture> </a> </p> <p align="center"> <a href="https://semgrep.dev/docs/"> <img src="https://img.shields.io/badge/Semgrep-docs-2acfa6?style=flat-square" alt="Documentation" /> </a> <a href="https://go.semgrep.dev/slack"> <img src="https://img.shields.io/badge/Slack-4.5k%20-4A154B?style=flat-square&logo=slack&logoColor=white" alt="Join Semgrep community Slack" /> </a> <a href="https://www.linkedin.com/company/semgrep/"> <img src="https://img.shields.io/badge/LinkedIn-follow-0a66c2?style=flat-square" alt="Follow on LinkedIn" /> </a> <a href="https://x.com/intent/follow?screen_name=semgrep"> <img src="https://img.shields.io/badge/semgrep-000000?style=flat-square&logo=x&logoColor=white?style=flat-square" alt="Follow @semgrep on X" /> </a> </p>

Semgrep MCP Server

A Model Context Protocol (MCP) server for using Semgrep to scan code for security vulnerabilities. Secure your vibe coding! 😅

Model Context Protocol (MCP) is a standardized API for LLMs, Agents, and IDEs like Cursor, VS Code, Windsurf, or anything that supports MCP, to get specialized help, get context, and harness the power of tools. Semgrep is a fast, deterministic static analysis tool that semantically understands many languages and comes with over 5,000 rules. 🛠️

[!NOTE] This beta project is under active development. We would love your feedback, bug reports, feature requests, and code. Join the #mcp community Slack channel!

Contents

• Semgrep MCP Server
  • Contents
  • Getting started
    • Cursor
    • ChatGPT
    • Hosted Server
      • Cursor
  • Demo
  • API
    • Tools
      • Scan Code
      • Understand Code
      • Cloud Platform (login and Semgrep token required)
      • Meta
    • Prompts
    • Resources
  • Usage
    • Standard Input/Output (stdio)
      • Python
      • Docker
    • Streamable HTTP
      • Python
      • Docker
    • Server-sent events (SSE)
      • Python
      • Docker
  • Semgrep AppSec Platform
  • Integrations
    • Cursor IDE
    • VS Code / Copilot
      • Manual Configuration
      • Using Docker
    • Windsurf
    • Claude Desktop
    • Claude Code
    • OpenAI
      • Agents SDK
    • Custom clients
      • Example Python SSE client
  • Contributing, community, and running from source
    • Similar tools 🔍
    • Community projects 🌟
    • MCP server registries

Getting started

Run the Python package as a CLI command using uv:

uvx semgrep-mcp # see --help for more options

Or, run as a Docker container:

docker run -i --rm ghcr.io/semgrep/mcp -t stdio 

Cursor

Example mcp.json

{
  "mcpServers": {
    "semgrep": {
      "command": "uvx",
      "args": ["semgrep-mcp"],
      "env": {
        "SEMGREP_APP_TOKEN": "<token>"
      }
    }
  }
}

Add an instruction to your .cursor/rules to use automatically:

Always scan code generated using Semgrep for security vulnerabilities

ChatGPT

1. Go to the Connector Settings page (direct link)
2. Name the connection Semgrep
3. Set MCP Server URL to https://mcp.semgrep.ai/sse
4. Set Authentication to No authentication
5. Check the I trust this application checkbox
6. Click Create

See more details at the official docs.

Hosted Server

[!WARNING] mcp.semgrep.ai is an experimental server that may break unexpectedly. It will rapidly gain new functionality.🚀

Cursor

1. Cmd + Shift + J to open Cursor Settings
2. Select MCP Tools
3. Click New MCP Server.

{
  "mcpServers": {
    "semgrep": {
      "type": "streamable-http",
      "url": "https://mcp.semgrep.ai/mcp"
    }
  }
}

Demo

<a href="https://www.loom.com/share/8535d72e4cfc4e1eb1e03ea223a702df"> <img style="max-width:300px;" src="https://cdn.loom.com/sessions/thumbnails/8535d72e4cfc4e1eb1e03ea223a702df-1047fabea7261abb-full-play.gif"> </a>

API

Tools

Enable LLMs to perform actions, make deterministic computations, and interact with external services.

Scan Code

• security_check: Scan code for security vulnerabilities
• semgrep_scan: Scan code files for security vulnerabilities with a given config string
• semgrep_scan_with_custom_rule: Scan code files using a custom Semgrep rule

Understand Code

• get_abstract_syntax_tree: Output the Abstract Syntax Tree (AST) of code

Cloud Platform (login and Semgrep token required)

• semgrep_findings: Fetch Semgrep findings from the Semgrep AppSec Platform API

Meta

• supported_languages: Return the list of languages Semgrep supports
• semgrep_rule_schema: Fetches the latest semgrep rule JSON Schema

Prompts

Reusable prompts to standardize common LLM interactions.

• write_custom_semgrep_rule: Return a prompt to help write a Semgrep rule

Resources

Expose data and content to LLMs

• semgrep://rule/schema: Specification of the Semgrep rule YAML syntax using JSON schema
• semgrep://rule/{rule_id}/yaml: Full Semgrep rule in YAML format from the Semgrep registry

Usage

This Python package is published to PyPI as semgrep-mcp and can be installed and run with pip, pipx, uv, poetry, or any Python package manager.

$ pipx install semgrep-mcp
$ semgrep-mcp --help

Usage: semgrep-mcp [OPTIONS]

  Entry point for the MCP server

  Supports both stdio and sse transports. For stdio, it will read from stdin
  and write to stdout. For sse, it will start an HTTP server on port 8000.

Options:
  -v, --version                Show version and exit.
  -t, --transport [stdio|sse]  Transport protocol to use (stdio or sse)
  -h, --help                   Show this message and exit.

Standard Input/Output (stdio)

The stdio transport enables communication through standard input and output streams. This is particularly useful for local integrations and command-line tools. See the spec for more details.

Python

semgrep-mcp

By default, the Python package will run in stdio mode. Because it's using the standard input and output streams, it will look like the tool is hanging without any output, but this is expected.

Docker

This server is published to Github's Container Registry (ghcr.io/semgrep/mcp)

docker run -i --rm ghcr.io/semgrep/mcp -t stdio

By default, the Docker container is in SSE mode, so you will have to include -t stdio after the image name and run with -i to run in interactive mode.

Streamable HTTP

Streamable HTTP enables streaming responses over JSON RPC via HTTP POST requests. See the spec for more details.

By default, the server listens on 127.0.0.1:8000/mcp for client connections. To change any of this, set FASTMCP_* environment variables. The server must be running for clients to connect to it.

Python

semgrep-mcp -t streamable-http

By default, the Python package will run in stdio mode, so you will have to include -t streamable-http.

Docker

docker run -p 8000:0000 ghcr.io/semgrep/mcp

Server-sent events (SSE)

[!WARNING] The MCP communiity considers this a legacy transport portcol and is really intended for backwards compatibility. Streamable HTTP is the recommended replacement.

SSE transport enables server-to-client streaming with Server-Send Events for client-to-server and server-to-client communication. See the spec for more details.

By default, the server listens on 127.0.0.1:8000/sse for client connections. To change any of this, set FASTMCP_* environment variables. The server must be running for clients to connect to it.

Python

semgrep-mcp -t sse

By default, the Python package will run in stdio mode, so you will have to include -t sse.

Docker

docker run -p 8000:0000 ghcr.io/semgrep/mcp -t sse

Semgrep AppSec Platform

Optionally, to connect to Semgrep AppSec Platform:

1. Login or sign up
2. Generate a token from Settings
3. Add the token to your environment variables:

   • CLI (export SEMGREP_APP_TOKEN=<token>)

   • Docker (docker run -e SEMGREP_APP_TOKEN=<token>)

   • MCP config JSON

    "env": {
      "SEMGREP_APP_TOKEN": "<token>"
    }

[!TIP] Please reach out for support if needed. ☎️

Integrations

Cursor IDE

Add the following JSON block to your ~/.cursor/mcp.json global or .cursor/mcp.json project-specific configuration file:

{
  "mcpServers": {
    "semgrep": {
      "command": "uvx",
      "args": ["semgrep-mcp"]
    }
  }
}

See cursor docs for more info.

VS Code / Copilot

Click the install buttons at the top of this README for the quickest installation.

Manual Configuration

Add the following JSON block to your User Settings (JSON) file in VS Code. You can do this by pressing Ctrl + Shift + P and typing Preferences: Open User Settings (JSON).

{
  "mcp": {
    "servers": {
      "semgrep": {
        "command": "uvx",
        "args": ["semgrep-mcp"]
      }
    }
  }
}

Optionally, you can add it to a file called .vscode/mcp.json in your workspace:

{
  "servers": {
    "semgrep": {
      "command": "uvx",
        "args": ["semgrep-mcp"]
    }
  }
}

Using Docker

{
  "mcp": {
    "servers": {
      "semgrep": {
        "command": "docker",
        "args": [
          "run",
          "-i",
          "--rm",
          "ghcr.io/semgrep/mcp",
          "-t",
          "stdio"
        ]
      }
    }
  }
}

See VS Code docs for more info.

Windsurf

Add the following JSON block to your ~/.codeium/windsurf/mcp_config.json file:

{
  "mcpServers": {
    "semgrep": {
      "command": "uvx",
      "args": ["semgrep-mcp"]
    }
  }
}

See Windsurf docs for more info.

Claude Desktop

Here is a short video showing Claude Desktop using this server to write a custom rule.

Add the following JSON block to your claude_desktop_config.json file:

{
  "mcpServers": {
    "semgrep": {
      "command": "uvx",
      "args": ["semgrep-mcp"]
    }
  }
}

See Anthropic docs for more info.

Claude Code

claude mcp add semgrep uvx semgrep-mcp

See Claude Code docs for more info.

OpenAI

See the offical docs:

• https://platform.openai.com/docs/mcp
• https://platform.openai.com/docs/guides/tools-remote-mcp

Agents SDK

async with MCPServerStdio(
    params={
        "command": "uvx",
        "args": ["semgrep-mcp"],
    }
) as server:
    tools = await server.list_tools()

See OpenAI Agents SDK docs for more info.

Custom clients

Example Python SSE client

See a full example in examples/sse_client.py

from mcp.client.session import ClientSession
from mcp.client.sse import sse_client


async def main():
    async with sse_client("http://localhost:8000/sse") as (read_stream, write_stream):
        async with ClientSession(read_stream, write_stream) as session:
            await session.initialize()
            results = await session.call_tool(
                "semgrep_scan",
                {
                    "code_files": [
                        {
                            "filename": "hello_world.py",
                            "content": "def hello(): print('Hello, World!')",
                        }
                    ]
                },
            )
            print(results)

[!TIP] Some client libraries want the URL: http://localhost:8000/sse and others only want the HOST: localhost:8000. Try out the URL in a web browser to confirm the server is running, and there are no network issues.

See official SDK docs for more info.

Contributing, community, and running from source

[!NOTE] We love your feedback, bug reports, feature requests, and code. Join the #mcp community Slack channel!

See CONTRIBUTING.md for more info and details on how to run from the MCP server from source code.

Similar tools 🔍

• semgrep-vscode - Official VS Code extension
• semgrep-intellij - IntelliJ plugin

Community projects 🌟

• semgrep-rules - The official collection of Semgrep rules
• mcp-server-semgrep - Original inspiration written by Szowesgad and stefanskiasan

MCP server registries

• Glama

<a href="https://glama.ai/mcp/servers/@semgrep/mcp"> <img width="380" height="200" src="https://glama.ai/mcp/servers/4iqti5mgde/badge" alt="Semgrep Server MCP server" /> </a>

• MCP.so

---

Made with ❤️ by the Semgrep Team