安全审计工具

<a href="https://glama.ai/mcp/servers/jjnmdxzmeu"> <img width="380" height="200" src="https://glama.ai/mcp/servers/jjnmdxzmeu/badge" /> </a>

一个强大的 MCP (模型上下文协议) 服务器，用于审计 npm 包依赖项中的安全漏洞。它通过远程 npm 注册表集成，实现实时安全检查。

特性

• 🔍 实时安全漏洞扫描
• 🚀 远程 npm 注册表集成
• 📊 详细的漏洞报告，包含严重程度
• 🛡️ 支持多种严重程度级别（严重、高、中、低）
• 📦 兼容 npm/pnpm/yarn 包管理器
• 🔄 自动修复建议
• 📋 CVSS 评分和 CVE 参考

通过 Smithery 安装

要通过 Smithery 为 Claude Desktop 自动安装 Security Audit Tool：

npx -y @smithery/cli install @qianniuspace/mcp-security-audit --client claude

MCP 集成

选项 1：使用 NPX (推荐)

1. 将 MCP 配置添加到 Cursor：

{
  "Name": "mcp-security-audit",
  "Type": "command",
  "Command": "npx -y mcp-security-audit"
}

2. 将 MCP 配置添加到 Cline：

{
  "mcpServers": {
    "mcp-security-audit": {
      "command": "npx",
      "args": ["-y", "mcp-security-audit"]
    }
  }
}

选项 2：下载源代码并手动配置

1. 克隆存储库：

git clone https://github.com/qianniuspace/mcp-security-audit.git
cd mcp-security-audit

2. 安装依赖项并构建：

npm install
npm run build

3. 将 MCP 配置添加到 Cursor：

{
  "Name": "mcp-security-audit",
  "Type": "command",
  "Command": "node /path/to/mcp-security-audit/build/index.js"
}

4. 将 MCP 配置添加到 Cline：

{
  "mcpServers": {
    "mcp-security-audit": {
      "command": "npx",
      "args": ["-y", "/path/to/mcp-security-audit/build/index.js"]
    }
  }
}

配置截图

Cursor 配置

Cline 配置

API 响应格式

该工具提供详细的漏洞信息，包括严重程度、修复建议、CVSS 评分和 CVE 参考。

响应示例

1. 发现漏洞时 (Severity-response.json)

{
  "content": [{
    "vulnerability": {
      "packageName": "lodash",
      "version": "4.17.15",
      "severity": "high",
      "description": "lodash 中的原型污染",
      "cve": "CVE-2020-8203",
      "githubAdvisoryId": "GHSA-p6mc-m468-83gw",
      "recommendation": "升级到 4.17.19 或更高版本",
      "fixAvailable": true,
      "fixedVersion": "4.17.19",
      "cvss": {
        "score": 7.4,
        "vector": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N"
      },
      "cwe": ["CWE-1321"],
      "url": "https://github.com/advisories/GHSA-p6mc-m468-83gw"
    },
    "metadata": {
      "timestamp": "2024-04-23T10:00:00.000Z",
      "packageManager": "npm"
    }
  }]
}

2. 未发现漏洞时 (no-Severity-response.json)

{
  "content": [{
    "vulnerability": null,
    "metadata": {
      "timestamp": "2024-04-23T10:00:00.000Z",
      "packageManager": "npm",
      "message": "未发现已知漏洞"
    }
  }]
}

开发

有关开发参考，请查看 public 目录中的示例响应文件：

• Severity-response.json : 发现漏洞时的示例响应（从 npm audit API 响应转换而来）
• no-Severity-response.json : 未发现漏洞时的示例响应（从 npm audit API 响应转换而来）

注意：上面显示的示例响应是从原始 npm audit API 响应转换而来的，以提供更结构化的格式。 原始 npm audit API 响应包含其他元数据，并且可能具有不同的结构。

贡献

欢迎贡献！ 请阅读我们的 贡献指南，了解我们的行为准则以及提交拉取请求的过程。

许可证

该项目已获得 MIT 许可证的许可 - 有关详细信息，请参见 LICENSE 文件。

作者

ESX (qianniuspace@gmail.com)

链接

• GitHub 存储库
• 问题跟踪器
• 变更日志