代码安全MCP 服务

概述

代码安全智能扫描 MCP 是信息安全部和极库云在安全左移方向上的又一次深化实践，进一步将安全能力前置到开发阶段，使开发者能够在编码过程中便捷接入安全检测能力，从源头保障业务代码安全。

极库云智效代码安装配置

代码安全智能扫描MCP支持Streamable HTTP和SSE两种类型，运行于：http://code-security.mcp.qihoo.net:8888/sse。 开发者可在其常用的代码编辑器中通过对话交互触发对代码片段或单文件的安全扫描，实时识别潜在风险。

首先在vscode中安装极库云智效代码插件，官网地址：https://ai.geelib.360.cn/copilotcode/。

外网模型版

安装完成之后手动进行MCP配置：

点击配置MCP服务，输入：

{

  "mcpServers": {

    "qihoo-code-security2": {

      "type": "http",

      "url": "http://code-security.mcp.qihoo.net:8887/mcp"

    }

  }

}

{

  "mcpServers": {

    "qihoo-code-security": {

      "type": "sse",

      "url": "http://code-security.mcp.qihoo.net:8888/sse",

      "timeout": 300

    }

  }

}

配置完成之后，显示如下：

内网合规版

安装完成之后手动进行MCP配置：

输入：

{

  "mcpServers": {

    "qihoo-code-security2": {

      "type": "http",

      "url": "http://code-security.mcp.qihoo.net:8887/mcp"

    }

  }

}

{

  "mcpServers": {

    "qihoo-code-security": {

      "type": "sse",

      "url": "http://code-security.mcp.qihoo.net:8888/sse",

      "timeout": 300

    }

  }

}

功能介绍

支持的语言

通过触发supported_languages工具，能够得到sast支持的语言或文件格式列表：

["clojure","dockerfile","go","json","php","rust","yaml","apex","cpp","elixir","html","kotlin","scala","terraform","bash","csharp","generic","java","python","solidity","c","javascript","ocaml","ruby","swift","typescript"]

执行安全检查

该工具（qihoo_code_security_scan）是由360信息安全部发布的代码安全扫描工具，用于对单个源代码文件进行安全检查和扫描，识别常见的漏洞模式。建议始终使用 qihoo_code_security_scan 对生成的代码进行安全漏洞扫描。

客户端配置完成 MCP 后，用户只需在聊天框中输入安全扫描需求，即可一键触发代码安全扫描。云端将返回专业的静态分析结果，帮助开发者快速识别潜在安全风险。

执行敏感信息泄露检测

该工具（qihoo_sensitive_info_scan）是由360信息安全部发布的敏感信息检测工具，旨在对单个源代码文件进行扫描，以发现潜在的敏感信息泄露问题，例如凭证、令牌或私钥等。该工具特别适用于即将开源的项目，帮助开发者确保不会无意中暴露任何机密数据。

反馈

该工具允许用户对由 qihoo_code_security_scan 生成的安全扫描结果提供反馈。用户可以用于报告误报、确认真实漏洞，或对特定发现接受风险。该反馈机制有助于提升未来安全扫描的准确性，并对已审查的安全问题进行记录管理。

信安提供的代码扫描能力具备自进化特性，系统会定期收集用户反馈，用于持续优化误报研判机制和规则配置。为提升扫描准确性，用户可在聊天框中触发 feedback ，并反馈以下任意反馈类型的问题：

● not an issue：这不是安全问题
● confirmed：这是一个确实存在的安全问题
● accept risk：存在一定风险，但可接受，请勿再次提示