shield_lock
JinDaGe
Contact
Back to MCP directory
publicPublicdnsLocal runtime

mcp-osv

一个集成OSV.dev和AI模型的安全分析MCP服务器,用于检测代码漏洞并提供安全建议。

article

README

🚀 MCP 安全分析师

MCP 安全分析师是一个遵循模型上下文协议 (MCP) 的服务器,它整合了 OSV.dev 数据库和 AI 模型,能够帮助用户识别并分析代码中的潜在漏洞,为代码安全保驾护航。

🚀 快速开始

要使用 MCP 安全分析师,您需要先完成安装。安装完成后,配置您的 LLM 使用 mcp-osv 作为代理,即可开始利用其提供的工具进行代码安全分析。

✨ 主要特性

  • 漏洞检查:使用 OSV.dev 数据库进行漏洞检查,让您及时发现代码依赖项中的已知漏洞。
  • 基本代码安全分析:具备基本代码安全分析功能,对代码进行初步的安全评估。
  • AI 模型集成:与 AI 模型集成以提供安全洞察,借助 AI 的强大能力,为您提供更深入的安全分析和改进建议。
  • MCP 协议支持:支持 MCP 协议以实现与各种 AI 工具的无缝连接,方便您在不同的工作环境中使用。
  • 可选静态代码分析:若安装了 Semgrep,可进行可选的静态代码分析,进一步增强代码安全检测能力。

📦 安装指南

核心需求

make deps
make install

可选:Semgrep 安装

为了增强静态代码分析功能,可以安装 Semgrep:

macOS

brew install semgrep

Linux

python3 -m pip install semgrep

其他平台

请参阅 Semgrep 安装指南 以获取详细说明。

即使未安装 Semgrep,MCP 服务器也能正常运行,但在分析目录时会跳过静态代码分析步骤。

mcp-osv 命令将被安装到 PATH 中,并使用标准输入输出方法。

💻 使用示例

基础用法

检查依赖项中的已知漏洞

# 检查某个包的漏洞
mcp check_vulnerabilities --package_name=example-package --version=1.0.0

分析代码的安全性

# 分析特定文件
mcp analyze_security --file_path=/path/to/your/file

高级用法

与 AI 模型集成使用

此服务器设计用于与 Claude 和 Cursor 等 AI 模型通过 MCP 协议连接。AI 模型可以使用提供的工具进行以下操作:

  1. 检查依赖项中的已知漏洞
  2. 分析代码的安全性
  3. 提供安全改进的建议

与 Cursor 连接

参见 mcp.json-template 以获取与 Cursor IDE 配合使用的示例。 完成设置后,重新启动并执行类似的操作:

# 检查某个包的漏洞
"检查 'express' 版本 '4.17.1' 包中的漏洞"

# 分析特定文件
"分析 '文件名' 文件的安全性"

示例输出: output-1 output-2 output-3

与 Claude 连接

提供一个完整的配置文件示例:

{
    "mcp": {
        "servers": [
            {
                "name": "security_analyzer",
                "host": "localhost",
                "port": 5005,
                "secret": "your-secret-token"
            }
        ]
    }
}

📚 详细文档

工具说明

check_vulnerabilities

检查依赖项中是否存在已知漏洞,使用 OSV.dev 数据库。

参数:

  • package_name: 要检查的包名
  • version: 要检查的包版本

analyze_security

基于 https://osv.dev 分析代码中的潜在安全问题。

参数:

  • file_path: 要分析的文件路径

🔧 技术细节

开发步骤

要添加新的安全分析功能,请按照以下步骤操作:

  1. analyzers 文件夹中创建一个新的分析器类。
  2. 实现所需的漏洞检测和修复建议方法。
  3. 更新 setup.py 以包含新分析器。

参考 GitHub 链接 获取更多信息。

调试方法

在 VSCode 中,使用开发者工具:

# 打开开发者工具
Ctrl+Shift+I 或 Cmd+Shift+I

# 访问控制台
F12 或 Cmd+Alt+I

📄 许可证

本项目采用 MIT 许可证。

help

Runtime guide

cloud

Hosted runtime

Hosted servers run from a provider-managed environment. You usually connect the MCP client to the hosted endpoint or follow the provider's authorization flow, without keeping a local process alive

  1. Open provider connection page
  2. Authorize or copy endpoint
  3. Connect from your MCP client
terminal

Local runtime / other methods

Local servers run on your own machine or infrastructure. You normally copy the server_config into your MCP client, install the required package, and provide env variables from env_schema when needed

  1. Copy server_config
  2. Install required package
  3. Fill env variables and restart client