Provides tools to scan npm manifest files (package.json and package-lock.json) for security vulnerabilities in dependencies.
Enables checking of pnpm-lock.yaml files against vulnerability databases to identify potential security risks in project dependencies.
Integrates with Socket.dev to provide security verification for npm dependencies by checking them against their vulnerability database.
Supports the analysis of yarn.lock files to detect security vulnerabilities in the project's dependency tree.
Click on "Install Server".
Wait a few minutes for the server to deploy. Once ready, it will show a "Started" state.
In the chat, type
@followed by the MCP server name and your instructions, e.g., "@Dependency Checker MCP Serverscan my package.json for any security vulnerabilities"
That's it! The server will respond to your query, and you can continue using it as needed.
Here is a step-by-step guide with screenshots.
Dependency Checker MCP Server
Ce serveur MCP (Model Context Protocol) fournit des outils pour vérifier la sécurité des dépendances npm en utilisant des bases de données de vulnérabilités reconnues : OSV.dev et Socket.dev.
🚀 Installation & Utilisation
Ce serveur peut être utilisé directement via npx sans installation préalable, ou installé globalement.
Configuration pour les clients MCP
Claude Desktop / Gemini CLI
Ajoutez la configuration suivante à votre fichier de configuration MCP (généralement claude_desktop_config.json ou similaire) :
Note importante : L'ajout de @latest garantit que npx télécharge et exécute toujours la dernière version stable du serveur. Sans cela, npx pourrait utiliser une version en cache ou obsolète.
Si vous travaillez en local sur le projet :
🛠 Outils disponibles
scan_file
Analyse un fichier de manifeste (package.json, lockfiles) pour détecter les vulnérabilités.
Entrée :
file_path(chemin absolu du fichier).Supporte :
package.json,package-lock.json,yarn.lock,pnpm-lock.yaml.
check_vulnerabilities
Vérifie une liste spécifique de dépendances. Utile pour les agents qui extraient des dépendances d'autres sources.
Entrée : Liste d'objets
{ name, version }.
get_vulnerability_details
Récupère les détails techniques complets d'une vulnérabilité via son ID (CVE, GHSA, etc.).
Entrée :
vuln_id.
🤝 Contribuer
Les contributions sont les bienvenues ! Voici comment configurer votre environnement de développement.
Prérequis
Node.js (v20+)
npm
Installation
Développement
Build :
npm run build(génère les fichiers dansdist/)Dev (Watch) :
npm run dev(recompile à chaque changement)Tests :
npm test(lance Vitest)Linting :
npm run lint(vérifie le code avec oxlint)
Workflow de Commit
Ce projet utilise Conventional Commits pour générer automatiquement le changelog et gérer les versions.
Au lieu d'utiliser git commit, utilisez la commande suivante pour être guidé :
Cela lancera un assistant interactif pour formater votre message de commit correctement (feat, fix, docs, etc.).
Release (Mainteneurs)
Consultez le fichier RELEASE.md pour la procédure détaillée de publication.
📄 Licence
Ce projet est sous licence MIT.