关键词

npm依赖审计安全漏洞扫描软件成分分析Node.js安全依赖安全

项目简介

Security Audit Tool 是一个基于 Model Context Protocol (MCP) 构建的服务器,用于审计 Node.js 项目的 npm 包依赖,检测并报告安全漏洞。它可以集成到支持 MCP 协议的 LLM 客户端(如 Cursor 和 Cline)中,为开发者提供实时的依赖安全检查。

主要功能点

  • 实时漏洞扫描: 快速检测项目依赖中的已知安全漏洞。
  • 详细漏洞报告: 提供漏洞的严重程度、描述、CVE 编号、修复建议等详细信息。
  • 多种包管理器支持: 兼容 npm, pnpm, yarn 等常用的 Node.js 包管理器。
  • 自动修复建议: 针对检测到的漏洞,提供升级到安全版本的建议。

安装步骤

通过 Smithery 安装 (推荐给 Claude Desktop 用户):

  1. 确保已安装 Smithery CLI
  2. 运行以下命令即可自动安装和配置 Security Audit Tool: 
    npx -y @smithery/cli install @qianniuspace/mcp-security-audit --client claude

手动安装和配置:

  1. 克隆仓库到本地: 
    git clone https://github.com/qianniuspace/mcp-security-audit.git
cd mcp-security-audit
  2. 安装依赖并构建项目: 
    npm install
npm run build

服务器配置 (用于 MCP 客户端)

要将 Security Audit Tool 集成到 MCP 客户端,您需要配置 MCP 服务器信息。以下是 Cursor 和 Cline 的配置示例:

Cursor 配置:

打开 Cursor 的设置,找到 MCP 服务器配置,添加以下 JSON 配置:

{
  "Name": "mcp-security-audit",  // MCP 服务器的名称,可以自定义
  "Type": "command",           // 服务器类型,固定为 "command"
  "Command": "npx -y mcp-security-audit" // 启动 MCP 服务器的命令
}

Cline 配置:

打开 Cline 的配置文件,找到 'mcpServers' 部分,添加以下 JSON 配置:

{
  "mcpServers": {
    "mcp-security-audit": {    // MCP 服务器的名称,可以自定义,与 Cursor 配置中的 "Name" 保持一致
      "command": "npx",        // 启动命令
      "args": ["-y", "mcp-security-audit"] // 命令参数
    }
  }
}

如果您选择手动下载源代码,'Command' 或 'args' 中的路径需要指向 'mcp-security-audit/build/index.js' 的实际路径。

基本使用方法

  1. 启动 MCP 服务器: 按照上述配置,当 MCP 客户端 (如 Cursor 或 Cline) 启动时,Security Audit Tool MCP 服务器也会自动启动。
  2. 在 LLM 客户端中使用: 在 LLM 客户端中,您可以指示 LLM 调用 'audit_nodejs_dependencies' 工具来扫描项目依赖。例如,您可以向 LLM 提出类似 "请帮我检查一下这个项目的依赖是否存在安全漏洞" 的指令。
  3. 查看漏洞报告: 扫描完成后,LLM 客户端会接收到来自 MCP 服务器的漏洞报告,报告会以 JSON 格式呈现漏洞的详细信息。

注意: Security Audit Tool 需要 Node.js 和 npm 环境才能运行。

信息

分类

开发者工具

访问项目