使用说明

项目简介

MCP安全分析助手 (mcp-osv) 是一个实现了 Model Context Protocol (MCP) 的服务器，专注于为软件项目提供安全分析功能。它通过集成 OSV.dev 开源漏洞数据库和基础代码分析技术，能够帮助开发者和安全分析人员快速检测项目中的已知漏洞和潜在安全风险，从而提升代码的整体安全性。

主要功能点

• 依赖漏洞检测: 利用 OSV.dev 数据库，检查项目依赖包中是否存在已公开的漏洞，及时发现并修复已知安全问题。
• 代码安全分析: 对指定代码文件进行基础安全分析，例如检查是否存在硬编码凭据、SQL 注入风险、不安全的文件操作等潜在的安全隐患。
• MCP协议支持: 遵循 MCP 协议标准，可以与支持 MCP 协议的 LLM 客户端（如 Cursor 编辑器）无缝集成，通过自然语言指令调用安全分析功能。

安装步骤

1. 前提条件: 确保您的系统已安装 Go 语言环境（版本不低于仓库要求的版本，通常为最新稳定版）。
2. 下载仓库: 使用 Git 克隆 'mcp-osv' 仓库到本地：

   git clone https://github.com/gleicon/mcp-osv.git
   cd mcp-osv
   

3. 安装依赖: 在仓库根目录下运行 'make deps' 命令，以下载项目依赖的 Go 模块。

   make deps
   

4. 编译安装: 运行 'make install' 命令编译项目，并将 'mcp-osv' 可执行文件安装到系统的 PATH 目录下，以便 LLM 客户端可以找到并执行。

   make install
   

服务器配置

MCP 服务器需要配置在支持 MCP 协议的 LLM 客户端中。以下是 'mcp-osv' 服务器在客户端中需要配置的 JSON 格式信息。以 Cursor 编辑器为例，您需要在 Cursor 的 MCP 配置文件（通常为 'mcp.json' 或在设置中配置）中添加以下 server 配置：

{
  "serverName": "Security Analyst MCP",
  "command": "mcp-osv",
  "args": []
}

• 'serverName': 服务器的名称，可以自定义，用于在客户端中标识该服务器。
• 'command': 启动 MCP 服务器的命令，这里配置为 'mcp-osv' (假设 'mcp-osv' 已正确安装到 PATH 环境变量中)。
• 'args': 启动命令的参数，'mcp-osv' 服务器默认使用标准输入/输出 (stdio) 通信，无需额外参数，因此配置为空数组 '[]'。

基本使用方法

成功配置 MCP 服务器后，在 LLM 客户端中，您可以使用自然语言指令来调用 'mcp-osv' 提供的安全分析工具。

示例指令：

• 检查依赖漏洞: 询问 LLM 客户端类似 "Check for vulnerabilities in the package 'requests' version '2.26.0'" (检查 requests 包 2.26.0 版本的漏洞) 的问题，mcp-osv 服务器将调用 'check_vulnerabilities' 工具，查询 OSV.dev 数据库并返回漏洞信息。
• 分析代码安全: 询问 LLM 客户端类似 "Analyze the security of the file 'app.py'" (分析 app.py 文件的安全性) 的问题，mcp-osv 服务器将调用 'analyze_security' 工具，分析指定文件的内容并返回安全分析结果。

请注意，具体的指令格式可能需要参考您使用的 LLM 客户端的文档，但核心思想是通过自然语言触发 MCP 服务器提供的安全分析功能。