微信扫一扫article
README
🚀 安全审计工具
本安全审计工具是一个强大的 MCP(模型上下文协议)服务器,用于审计 npm 包依赖项中的安全漏洞。它内置远程 npm 注册表集成,可实现实时安全检查,为项目的安全保驾护航。
🚀 快速开始
本工具可通过 Smithery CLI 进行安装,还能与 MCP 集成,以下为您详细介绍操作步骤。
✨ 主要特性
- 🔍 实时安全漏洞扫描,及时发现潜在风险。
- 🚀 远程 npm 注册表集成,确保信息实时更新。
- 📊 详细的安全报告(包括严重性等级),让您对安全状况一目了然。
- 🛡️ 支持多种严重性级别(高、中等、低、严重),精准评估风险程度。
- 📦 兼容 npm/pnpm/yarn 包管理器,满足不同使用需求。
- 🔄 自动修复建议,帮助您快速解决问题。
- 📋 CVSS 评分和 CVE 引用,提供权威的安全参考。
📦 安装指南
通过以下命令使用 Smithery CLI 进行安装:
npx smithery install @qianniuspace/mcp-security-audit
📚 详细文档
MCP 集成
使用 NPX
在项目根目录创建 mcp.json 文件,并添加以下内容:
{
"name": "security-audit",
"version": "1.0.0",
"description": "安全审计 MCP 服务",
"scripts": {
"start": "npx smithery start @qianniuspace/mcp-security-audit"
},
"dependencies": {
"@qianniuspace/mcp_security_audit": "^1.0.0"
}
}
运行以下命令启动服务:
npm run start
手动配置
下载源代码后,按照项目文档中的说明进行手动配置。
配置截图
API 响应格式
有漏洞的情况
{
"content": [{
"vulnerability": {
"name": "示例漏洞名称",
"severity": "高",
"package": "example-package",
"version": "1.0.0",
"message": "示例漏洞描述"
},
"metadata": {
"timestamp": "2024-04-23T10:00:00Z",
"packageManager": "npm"
}
}]
}
没有漏洞的情况
{
"content": [{
"vulnerability": null,
"metadata": {
"timestamp": "2024-04-23T10:00:00Z",
"packageManager": "npm",
"message": "未发现已知漏洞"
}
}]
}
开发
参考 public 目录中的示例响应文件:
- Severity-response.json:当检测到漏洞时的示例响应
- no-Severity-response.json:未检测到漏洞时的示例响应
贡献指南
欢迎贡献!请阅读我们的Contributing Guide以了解代码规范和提交 Pull Request 的流程。
📄 许可证
本项目采用 MIT 许可证。详细信息请参阅LICENSE文件。
作者
ESX (qianniuspace@gmail.com)