Servidor de auditoría de seguridad MCP

Herramienta de auditoría de seguridad

Un potente servidor MCP (Protocolo de Contexto de Modelo) que audita las dependencias de los paquetes npm para detectar vulnerabilidades de seguridad. Integrado con el registro remoto de npm para realizar comprobaciones de seguridad en tiempo real.

Características

🔍 Escaneo de vulnerabilidades de seguridad en tiempo real
Integración remota del registro npm
📊 Informes detallados de vulnerabilidad con niveles de gravedad
🛡️ Soporte para múltiples niveles de gravedad (crítico, alto, moderado, bajo)
📦 Compatible con los administradores de paquetes npm/pnpm/yarn
Recomendaciones de soluciones automáticas
Puntuación CVSS y referencias CVE

Instalación mediante herrería

Para instalar la herramienta de auditoría de seguridad para Claude Desktop automáticamente a través de Smithery :

npx -y @smithery/cli install @qianniuspace/mcp-security-audit --client claude

Integración MCP

Opción 1: Usar NPX (recomendado)

Agregar configuración MCP a Cline/Cursor:

{
  "mcpServers": {
    "mcp-security-audit": {
      "command": "npx",
      "args": ["-y", "mcp-security-audit"]
    }
  }
}

Opción 2: Descargar el código fuente y configurarlo manualmente

Clonar el repositorio:

git clone https://github.com/qianniuspace/mcp-security-audit.git
cd mcp-security-audit

Instalar dependencias y compilar:

npm install
npm run build

Agregar configuración MCP a Cline/Cursor:

{
  "mcpServers": {
    "mcp-security-audit": {
      "command": "npx",
      "args": ["-y", "/path/to/mcp-security-audit/build/index.js"]
    }
  }
}

Capturas de pantalla de configuración

Configuración del cursor

Configuración de Cline

Formato de respuesta de la API

La herramienta proporciona información detallada sobre vulnerabilidades, incluidos niveles de gravedad, recomendaciones de solución, puntuaciones CVSS y referencias CVE.

Ejemplos de respuestas

1. Cuando se encuentran vulnerabilidades (Severity-response.json)

{
  "content": [{
    "vulnerability": {
      "packageName": "lodash",
      "version": "4.17.15",
      "severity": "high",
      "description": "Prototype Pollution in lodash",
      "cve": "CVE-2020-8203",
      "githubAdvisoryId": "GHSA-p6mc-m468-83gw",
      "recommendation": "Upgrade to version 4.17.19 or later",
      "fixAvailable": true,
      "fixedVersion": "4.17.19",
      "cvss": {
        "score": 7.4,
        "vector": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N"
      },
      "cwe": ["CWE-1321"],
      "url": "https://github.com/advisories/GHSA-p6mc-m468-83gw"
    },
    "metadata": {
      "timestamp": "2024-04-23T10:00:00.000Z",
      "packageManager": "npm"
    }
  }]
}

2. Cuando no se encuentran vulnerabilidades (no-Severity-response.json)

{
  "content": [{
    "vulnerability": null,
    "metadata": {
      "timestamp": "2024-04-23T10:00:00.000Z",
      "packageManager": "npm",
      "message": "No known vulnerabilities found"
    }
  }]
}

Desarrollo

Como referencia de desarrollo, consulte los archivos de respuesta de ejemplo en el directorio public :

Severity-response.json : Respuesta de ejemplo cuando se encuentran vulnerabilidades (transformada a partir de la respuesta de la API de auditoría de npm)
no-Severity-response.json : Ejemplo de respuesta cuando no se encuentran vulnerabilidades (transformada a partir de la respuesta de la API de auditoría de npm)

Nota: Las respuestas de ejemplo mostradas arriba se han transformado a partir de las respuestas sin procesar de la API de auditoría de npm para ofrecer un formato más estructurado. Las respuestas originales de la API de auditoría de npm contienen metadatos adicionales y pueden tener una estructura diferente.

Contribuyendo

¡Agradecemos sus contribuciones! Lea nuestra Guía de Contribución para obtener más información sobre nuestro código de conducta y el proceso para enviar solicitudes de incorporación de cambios.

Licencia

Este proyecto está licenciado bajo la licencia MIT: consulte el archivo de LICENCIA para obtener más detalles.

Autor

ESX ( qianniuspace@gmail.com )

Campo de golf

You must be authenticated.

security – no known vulnerabilities

license - permissive license

quality - confirmed to work

remote-capable server

The server can be hosted and run remotely because it primarily relies on remote services or has no dependency on the local environment.

Tools

audit_nodejs_dependencies

Audita las dependencias de paquetes npm para detectar vulnerabilidades de seguridad, proporcionando informes detallados y recomendaciones de soluciones con integración con MCP.

Related Resources

Reddit Discussion about this server

Related MCP Servers

npm-search-mcp-server
btwiuse
A
security
A
license
A
quality
MCP server for searching npm packages
Last updated -
1
47
7
JavaScript
MIT License
Semgrep MCP Serverofficial
semgrep
A
security
A
license
A
quality
An MCP server that provides a comprehensive interface to Semgrep, enabling users to scan code for security vulnerabilities, create custom rules, and analyze scan results through the Model Context Protocol.
Last updated -
6
178
Python
MIT License
dvmcp
Karanxa
-
security
F
license
-
quality
Damn Vulnerable MCP Server for Security Researchers.
Last updated -
Python
NPM Sentinel MCP
Nekzus
A
security
A
license
A
quality
A Model Context Protocol server that enables AI-powered analysis of NPM packages through multiple tools for security vulnerability scanning, dependency analysis, package comparison, and quality assessment.
Last updated -
19
464
2
TypeScript
MIT License

View all related MCP servers

MCP Security Audit Server