项目简介

这是一个基于Model Context Protocol (MCP) 构建的服务器实现，旨在将 Socket.dev 的依赖安全和质量评分服务集成到支持MCP协议的大型语言模型（LLM）客户端中（如Claude、VS Code Copilot等）。它允许LLM在代码编写或审查过程中，自动或应用户请求查询项目依赖包的安全信息。

主要功能点

• 依赖安全评分查询： 提供一个名为 'depscore' 的工具，LLM客户端可以调用该工具查询指定依赖包在特定生态系统下的安全和质量分数。
• 与Socket.dev API集成： 后端通过调用Socket.dev的API获取实时的依赖包信息。
• 支持Stdio传输协议： 通过标准的输入/输出流与MCP客户端进行通信。

安装步骤

要使用此MCP服务器，您需要先安装它。推荐使用 npm 全局安装：

1. 确保您已安装 Node.js (v16 或更高版本) 和 npm。

2. 打开终端执行以下命令：

   npm install -g @socketsecurity/mcp
   

3. 从 Socket.dev 网站获取您的 API Key。请参考 Socket.dev 文档 获取详细步骤。

4. 将您的 Socket API Key 设置为环境变量 'SOCKET_API_KEY'。这是服务器运行所必需的：

   export SOCKET_API_KEY=your_api_key_here
   

服务器配置

此MCP服务器是为MCP客户端设计的后端服务。您需要在您的MCP客户端（如Claude Desktop, VS Code等）的配置中添加此服务器信息，以便客户端知道如何启动并连接到它。

配置通常是一个JSON结构，您需要提供以下关键信息：

• 服务器名称 (Name/ID): 一个标识符，例如 'socket-mcp' 或 'socket'。
• 命令 (Command): 启动Socket MCP服务器的可执行命令。全局安装后通常是 'socket-mcp'。
• 参数 (Args): 启动命令所需的额外参数。当前版本通常不需要额外的启动参数，可留空。
• 环境变量 (Env): 传递给服务器进程的环境变量。必须在此处提供 'SOCKET_API_KEY'。

具体的配置格式和位置取决于您的LLM客户端。请参考客户端的文档，查找“MCP服务器”或“自定义集成”相关的配置说明。

基本使用方法

配置完成后，您就可以在支持的LLM客户端中通过自然语言与AI助手交互，让它利用Socket MCP服务器提供的 'depscore' 工具。

例如，您可以尝试以下方式提问（具体表达方式可能因客户端而异）：

• "检查一下 npm 包 'express' 版本 '4.18.2' 的安全评分。"
• "分析 'pypi' 包 'requests' 的依赖分数。"
• "当我添加新的依赖时，总要使用 Socket 工具检查其安全风险。"

AI助手会根据您的指令或其内部规则调用配置好的 'depscore' 工具，并将获取的 Socket.dev 评分信息呈现给您或用于指导其后续行为。