MCP 安全分析器

一个模型上下文协议 (MCP) 服务器，通过与 OSV.dev 和 AI 模型集成，提供安全分析功能，以帮助识别和分析代码库中潜在的漏洞。

功能

• 使用 OSV.dev 数据库进行漏洞检查
• 代码文件的基本安全分析
• 与 AI 模型集成以获取安全洞察
• MCP 协议支持，可与各种 AI 工具无缝集成
• 可选的静态代码分析，使用 Semgrep（如果已安装）

要求

核心要求

make deps
make install

可选：Semgrep 安装

为了增强静态代码分析，您可以安装 Semgrep：

macOS

brew install semgrep

Linux

python3 -m pip install semgrep

其他平台

访问 Semgrep 安装指南 获取详细说明。

MCP 服务器在没有安装 Semgrep 的情况下也能工作，但在分析目录时会跳过静态分析部分。

安装

make deps
make install

mcp-osv 命令将被安装到 PATH 中，并使用 stdin/stdout 方法。

配置您的 LLM 以使用 mcp-osv 作为代理。

1. 服务器提供以下工具：

check_vulnerabilities

使用 OSV.dev 数据库检查依赖项中已知的漏洞。

参数：

• package_name: 要检查的包的名称
• version: 要检查的包的版本

analyze_security

根据 https://osv.dev 分析代码中潜在的安全问题 - 一个全面的开源漏洞数据库。

参数：

• file_path: 要分析的文件的路径

与 AI 模型集成

此服务器旨在通过 MCP 协议与 Claude 和 Cursor 等 AI 模型一起使用。 AI 模型可以使用提供的工具来：

1. 检查依赖项中已知的漏洞
2. 分析代码中的安全问题
3. 提供安全改进建议

连接 Cursor

示例输出

用法

有关与 Cursor IDE 配合使用的示例，请参见 mcp.json-template。

设置完成后，重新启动并询问类似“使用 mcp-osv 分析我的项目的安全性”的问题。

要在 VSCode 中进行调试，请转到 Help -> Toggle developer tools，然后在控制台中查找 mcp。

要测试安全分析功能：

# 检查包中的漏洞
"检查包 'express' 版本 '4.17.1' 中的漏洞"

# 分析特定文件
"分析文件 'main.go' 的安全性"

服务器将处理您的请求，并通过 MCP 协议提供安全洞察。

连接到 Claude

编辑配置文件并添加以下部分（这是整个文件，如果您已经安装了其他工具，请考虑 mcp_osv 部分。）

{
    "mcpServers": {
        "mcp_osv": {
            "command": "/usr/local/bin/mcp-osv",
            "args": []
        }
    }
}

开发

要添加新的安全分析功能：

1. 使用 mcp.NewTool 创建一个新工具
2. 实现工具处理程序
3. 使用 s.AddTool 将工具添加到服务器
4. 查看 https://github.com/mark3labs/mcp-go 以获取在 Go 中构建 MCP 的全面框架。

许可证

MIT