GitHub正式推出GitHub MCP Server機密憑證掃描功能,並公開預覽相依套件漏洞掃描。這兩項功能的用途,是讓開發者在使用AI工具撰寫或修改程式碼時,可以在送出程式碼前先檢查是否誤放金鑰或權杖等敏感資料,或引入帶有已知漏洞的外部套件。
MCP(Model Context Protocol)是連接AI應用程式與外部系統的開源標準,可讓AI工具存取資料來源、工具與工作流程,而GitHub MCP Server則是GitHub提供給AI開發工具使用的連接介面。透過該機制,AI工具不只能回答問題,也可在取得授權後連接GitHub,協助處理儲存庫、議題、合併請求與程式碼相關工作。
過去,開發團隊多半是在程式碼送進儲存庫、建立合併請求,或進入自動化建置與測試流程後,才看到安全警示。現在,開發者可在支援MCP的開發環境中,要求AI代理工具先檢查目前修改的內容,降低敏感資料或脆弱套件被送出的機率。
機密憑證掃描功能適用於啟用GitHub Secret Protection的儲存庫,其可協助檢查程式碼變更中是否包含可能外洩的密碼、金鑰、權杖或其他憑證。相依套件漏洞掃描則適用於啟用Dependabot警示的儲存庫。GitHub說明,AI代理工具可透過GitHub MCP Server呼叫Dependabot相關工具,把專案使用的套件資訊送到GitHub漏洞公告資料庫比對,再回傳受影響套件、漏洞嚴重程度與建議修補版本。
另外,根據文件說明,透過MCP觸發的機密憑證掃描結果,只會顯示在目前AI代理工具的聊天工作階段,不會保存為GitHub正式安全警示,也不會出現在安全分頁、機密憑證掃描警示清單,或REST/GraphQL API的警示查詢結果中。因此,該功能應視為提交前的輔助檢查,不能取代既有安全警示、自動化檢查與程式碼審查流程。
GitHub也指出,機密憑證掃描工具目前只透過遠端GitHub MCP Server提供,本機MCP伺服器設定尚不支援。
