Which integrations are available for this server?

Scans project dependencies for vulnerabilities using [npm](/mcp/servers/integrations/npm) audit, detecting security issues in package.json dependencies and devDependencies

🔒 MCP Security Scanner

Servidor MCP (Model Context Protocol) para escaneo de vulnerabilidades en código y dependencias. Genera reportes detallados en español con soluciones priorizadas por criticidad.

✨ Características

📦 Escaneo de dependencias usando npm audit
💻 Análisis de código fuente para detectar patrones vulnerables (XSS, eval, etc.)
🔑 Detección de secrets expuestos (API keys, tokens, contraseñas)
🇪🇸 Reportes en español con soluciones detalladas
📊 Priorización por severidad (Crítico → Alto → Medio → Bajo)
📝 Reportes en Markdown fáciles de leer y versionar

📋 Requisitos

Node.js 18.0.0 o superior
npm 9.0.0 o superior

🚀 Instalación

# Navegar al proyecto cd mcp-security-scanner # Instalar dependencias npm install

📖 Uso

Con MCP Inspector (Recomendado para pruebas)

npm run mcp:inspector

Esto abrirá una interfaz web donde puedes:

Conectar al servidor
Listar herramientas disponibles
Ejecutar escaneos de seguridad

Con Claude Desktop / Windsurf

Agrega esta configuración a tu archivo de configuración MCP:

{ "mcpServers": { "security-scanner": { "command": "npx", "args": ["tsx", "src/index.ts"], "cwd": "/ruta-proyecto/mcp-security-scanner" } } }

🛠️ Herramientas Disponibles

`scan_dependencies`

Escanea vulnerabilidades en las dependencias del package.json usando npm audit.

Parámetro	Tipo	Requerido	Descripción
`projectPath`	string	✅	Ruta absoluta al proyecto
`includeDevDeps`	boolean	❌	Incluir devDependencies (default: true)

Ejemplo:

"Escanea las dependencias del proyecto en D:/mi-proyecto"

`scan_code_vulnerabilities`

Escanea el código fuente buscando patrones de código vulnerable.

Parámetro	Tipo	Requerido	Descripción
`projectPath`	string	✅	Ruta absoluta al proyecto
`patterns`	string[]	❌	Patrones glob (default: src/*/.{ts,tsx,js,jsx})

Detecta:

XSS (dangerouslySetInnerHTML, innerHTML)
Ejecución de código (eval, new Function)
Almacenamiento inseguro de tokens
Redirecciones abiertas
ReDoS potencial

`scan_secrets`

Detecta secrets expuestos en el código fuente.

Parámetro	Tipo	Requerido	Descripción
`projectPath`	string	✅	Ruta absoluta al proyecto
`patterns`	string[]	❌	Patrones glob de archivos

Detecta:

API Keys (Stripe, Google, GitHub, Slack)
Contraseñas hardcodeadas
Claves privadas
Connection strings de bases de datos

`generate_security_report`

Genera un reporte completo de seguridad en formato Markdown.

Parámetro	Tipo	Requerido	Descripción
`projectPath`	string	✅	Ruta absoluta al proyecto
`outputDir`	string	❌	Directorio de salida (default: ./reports)
`projectName`	string	❌	Nombre del proyecto para el reporte

Ejemplo:

"Genera un reporte de seguridad completo para el proyecto frontend-app"

📊 Niveles de Severidad

Nivel	Emoji	Descripción	Acción Requerida
CRÍTICO	🔴	Vulnerabilidad explotable remotamente	Acción inmediata
ALTO	🟠	Riesgo significativo de seguridad	< 24 horas
MEDIO	🟡	Vulnerabilidad con impacto limitado	< 1 semana
BAJO	🟢	Riesgo mínimo	Próximo sprint

📁 Estructura del Proyecto

mcp-security-scanner/ ├── src/ │ ├── index.ts # Punto de entrada │ ├── server.ts # Configuración del servidor MCP │ ├── tools/ # Definición de herramientas │ │ ├── index.ts │ │ ├── scan-dependencies.tool.ts │ │ ├── scan-code.tool.ts │ │ ├── scan-secrets.tool.ts │ │ └── generate-report.tool.ts │ ├── services/ # Lógica de negocio │ │ ├── index.ts │ │ ├── dependency-scanner.service.ts │ │ ├── code-scanner.service.ts │ │ └── report.service.ts │ ├── patterns/ # Patrones de detección │ │ ├── index.ts │ │ └── code-patterns.ts │ ├── types/ # Tipos TypeScript │ │ └── index.ts │ └── utils/ # Utilidades │ ├── index.ts │ ├── constants.ts │ └── formatters.ts ├── docs/ │ └── GUIA_USO.md # Guía de uso detallada ├── reports/ # Reportes generados (gitignore) ├── package.json ├── tsconfig.json └── README.md

🌿 Ramas del Repositorio

Rama	Contenido
`master`	Código fuente del servidor MCP Security Scanner
`test-vulnerable-app`	Proyecto React de prueba con vulnerabilidades intencionales para validar el MCP

Proyecto de Prueba

La rama test-vulnerable-app contiene una aplicación React + TypeScript con vulnerabilidades intencionales:

📦 Dependencias vulnerables: lodash, axios, minimist, node-fetch con CVEs conocidos
💻 Código vulnerable: XSS, eval(), innerHTML, tokens en localStorage, redirecciones abiertas
🔑 Secrets expuestos: API keys, contraseñas, connection strings

Para usar el proyecto de prueba:

# Cambiar a la rama de prueba git checkout test-vulnerable-app # Instalar dependencias npm install # Ejecutar el escaneo desde el MCP # En MCP Inspector usar: projectPath = ruta/al/proyecto

📚 Documentación

Guía de Uso Paso a Paso - Instrucciones detalladas

🔧 Scripts Disponibles

# Iniciar servidor MCP npm start # Iniciar con MCP Inspector npm run mcp:inspector # Verificar tipos TypeScript npm run typecheck # Compilar a JavaScript npm run build

📄 Licencia

MIT

MCP Security Scanner