Strumento di Audit di Sicurezza

Cos'è l'Audit di Sicurezza MCP?

L'Audit di Sicurezza MCP è uno strumento potente progettato per controllare le dipendenze dei pacchetti npm per vulnerabilità di sicurezza. Utilizza il Protocollo di Contesto del Modello (MCP) per garantire che gli sviluppatori possano mantenere applicazioni sicure identificando potenziali rischi nelle loro dipendenze. Lo strumento si integra perfettamente con i registri npm remoti, consentendo controlli di sicurezza in tempo reale e fornendo agli sviluppatori un feedback immediato sullo stato di sicurezza dei loro pacchetti.

Caratteristiche dell'Audit di Sicurezza MCP

• Controlli di Sicurezza in Tempo Reale: L'integrazione con i registri npm remoti consente valutazioni di sicurezza istantanee delle dipendenze dei pacchetti.
• Report Completi sulle Vulnerabilità: L'Audit di Sicurezza MCP fornisce report dettagliati sulle vulnerabilità identificate, inclusi i livelli di gravità e le azioni raccomandate.
• Interfaccia Intuitiva: Lo strumento è progettato tenendo presente l'usabilità, rendendo facile per gli sviluppatori navigare e comprendere lo stato di sicurezza dei loro progetti.
• Open Source: Essendo un modello pubblico, gli sviluppatori possono contribuire al suo miglioramento e personalizzarlo secondo le loro esigenze.
• Supporto della Comunità: Con una comunità attiva di utenti e contributori, gli sviluppatori possono cercare aiuto e condividere informazioni riguardo le pratiche di sicurezza.

Come Utilizzare l'Audit di Sicurezza MCP

1. Installazione: Inizia installando lo strumento Audit di Sicurezza MCP tramite npm. Usa il comando:

   npm install mcp-security-audit
   

2. Esecuzione dell'Audit: Dopo l'installazione, naviga nella directory del tuo progetto ed esegui il comando di audit:

   mcp-security-audit
   

3. Revisione del Report: Una volta completato l'audit, rivedi il report generato. Elencherà tutte le vulnerabilità trovate, categorizzate per gravità.

4. Prendere Provvedimenti: Segui le raccomandazioni fornite nel report per affrontare le vulnerabilità. Questo può includere l'aggiornamento dei pacchetti, la rimozione delle dipendenze non utilizzate o l'applicazione di patch.

5. Monitoraggio Continuo: Esegui regolarmente l'audit come parte del tuo flusso di lavoro di sviluppo per garantire la conformità alla sicurezza nel tempo.

Domande Frequenti

Quali tipi di vulnerabilità può rilevare l'Audit di Sicurezza MCP?

L'Audit di Sicurezza MCP può rilevare una vasta gamma di vulnerabilità, inclusi pacchetti obsoleti, difetti di sicurezza noti e potenziali exploit nelle tue dipendenze npm.

L'Audit di Sicurezza MCP è gratuito da usare?

Sì, l'Audit di Sicurezza MCP è uno strumento open-source ed è gratuito da utilizzare. Gli sviluppatori possono anche contribuire al suo sviluppo e miglioramento.

Con quale frequenza dovrei eseguire l'audit?

Si consiglia di eseguire l'audit regolarmente, specialmente dopo aver aggiunto nuove dipendenze o aggiornato quelle esistenti. Integrarlo nella tua pipeline CI/CD può aiutare a mantenere gli standard di sicurezza.

Posso personalizzare i report di audit?

Sì, lo strumento consente la personalizzazione dei report per adattarsi alle esigenze specifiche del tuo progetto. Puoi modificare il formato di output e il livello di dettaglio incluso nei report.

Dove posso trovare ulteriori informazioni sull'Audit di Sicurezza MCP?

Per ulteriori dettagli, documentazione e supporto della comunità, visita il sito ufficiale su mcpdirs.com.

Security Audit Tool

<a href="https://glama.ai/mcp/servers/jjnmdxzmeu"> <img width="380" height="200" src="https://glama.ai/mcp/servers/jjnmdxzmeu/badge" /> </a>

A powerful MCP (Model Context Protocol) Server that audits npm package dependencies for security vulnerabilities. Built with remote npm registry integration for real-time security checks.

Features

• 🔍 Real-time security vulnerability scanning
• 🚀 Remote npm registry integration
• 📊 Detailed vulnerability reports with severity levels
• 🛡️ Support for multiple severity levels (critical, high, moderate, low)
• 📦 Compatible with npm/pnpm/yarn package managers
• 🔄 Automatic fix recommendations
• 📋 CVSS scoring and CVE references

Installing via Smithery

To install Security Audit Tool for Claude Desktop automatically via Smithery:

npx -y @smithery/cli install @qianniuspace/mcp-security-audit --client claude

MCP Integration

Option 1: Using NPX (Recommended)

1. Add MCP configuration to Cline /Cursor:

{
  "mcpServers": {
    "mcp-security-audit": {
      "command": "npx",
      "args": ["-y", "mcp-security-audit"]
    }
  }
}

Option 2: Download Source Code and Configure Manually

1. Clone the repository:

git clone https://github.com/qianniuspace/mcp-security-audit.git
cd mcp-security-audit

2. Install dependencies and build:

npm install
npm run build

3. Add MCP configuration to Cline /Cursor :

{
  "mcpServers": {
    "mcp-security-audit": {
      "command": "npx",
      "args": ["-y", "/path/to/mcp-security-audit/build/index.js"]
    }
  }
}

Configuration Screenshots

Cursor Configuration

Cline Configuration

API Response Format

The tool provides detailed vulnerability information including severity levels, fix recommendations, CVSS scores, and CVE references.

Response Examples

1. When Vulnerabilities Found (Severity-response.json)

{
  "content": [{
    "vulnerability": {
      "packageName": "lodash",
      "version": "4.17.15",
      "severity": "high",
      "description": "Prototype Pollution in lodash",
      "cve": "CVE-2020-8203",
      "githubAdvisoryId": "GHSA-p6mc-m468-83gw",
      "recommendation": "Upgrade to version 4.17.19 or later",
      "fixAvailable": true,
      "fixedVersion": "4.17.19",
      "cvss": {
        "score": 7.4,
        "vector": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N"
      },
      "cwe": ["CWE-1321"],
      "url": "https://github.com/advisories/GHSA-p6mc-m468-83gw"
    },
    "metadata": {
      "timestamp": "2024-04-23T10:00:00.000Z",
      "packageManager": "npm"
    }
  }]
}

2. When No Vulnerabilities Found (no-Severity-response.json)

{
  "content": [{
    "vulnerability": null,
    "metadata": {
      "timestamp": "2024-04-23T10:00:00.000Z",
      "packageManager": "npm",
      "message": "No known vulnerabilities found"
    }
  }]
}

Development

For development reference, check the example response files in the public directory:

• Severity-response.json : Example response when vulnerabilities are found (transformed from npm audit API response)
• no-Severity-response.json : Example response when no vulnerabilities are found (transformed from npm audit API response)

Note: The example responses shown above are transformed from the raw npm audit API responses to provide a more structured format. The original npm audit API responses contain additional metadata and may have a different structure.

Contributing

Contributions are welcome! Please read our Contributing Guide for details on our code of conduct and the process for submitting pull requests.

License

This project is licensed under the MIT License - see the LICENSE file for details.

Author

ESX (qianniuspace@gmail.com)

Links

• GitHub Repository
• Issue Tracker
• Changelog