セキュリティ監査ツール

MCPセキュリティ監査とは？

MCPセキュリティ監査は、npmパッケージの依存関係に対するセキュリティ脆弱性を監査するために設計された強力なツールです。これはモデルコンテキストプロトコル（MCP）を利用して、開発者が依存関係の潜在的なリスクを特定することで安全なアプリケーションを維持できるようにします。このツールはリモートnpmレジストリとシームレスに統合されており、リアルタイムのセキュリティチェックを行い、開発者にパッケージのセキュリティ状況に関する即時のフィードバックを提供します。

MCPセキュリティ監査の特徴

• リアルタイムセキュリティチェック：リモートnpmレジストリとの統合により、パッケージ依存関係の即時セキュリティ評価が可能です。
• 包括的な脆弱性報告：MCPセキュリティ監査は、特定された脆弱性に関する詳細なレポートを提供し、深刻度レベルや推奨アクションを含みます。
• ユーザーフレンドリーなインターフェース：ツールは使いやすさを考慮して設計されており、開発者がプロジェクトのセキュリティ状況を簡単にナビゲートし理解できるようになっています。
• オープンソース：公開テンプレートであるため、開発者はその改善に貢献し、自分のニーズに合わせてカスタマイズできます。
• コミュニティサポート：活発なユーザーと貢献者のコミュニティがあり、開発者はセキュリティプラクティスに関する助けを求めたり、洞察を共有したりできます。

MCPセキュリティ監査の使い方

1. インストール：まず、npmを介してMCPセキュリティ監査ツールをインストールします。コマンドを使用します：

   npm install mcp-security-audit
   

2. 監査の実行：インストール後、プロジェクトディレクトリに移動し、監査コマンドを実行します：

   mcp-security-audit
   

3. レポートの確認：監査が完了したら、生成されたレポートを確認します。見つかったすべての脆弱性が深刻度別にリストされます。

4. アクションを取る：レポートに記載された推奨事項に従って脆弱性に対処します。これには、パッケージの更新、未使用の依存関係の削除、またはパッチの適用が含まれる場合があります。

5. 継続的な監視：開発ワークフローの一部として定期的に監査を実行し、継続的なセキュリティコンプライアンスを確保します。

よくある質問

MCPセキュリティ監査はどのような脆弱性を検出できますか？

MCPセキュリティ監査は、古いパッケージ、既知のセキュリティ欠陥、npm依存関係における潜在的な悪用を含む幅広い脆弱性を検出できます。

MCPセキュリティ監査は無料で使用できますか？

はい、MCPセキュリティ監査はオープンソースツールであり、無料で使用できます。開発者はその開発と改善に貢献することもできます。

監査はどのくらいの頻度で実行すべきですか？

新しい依存関係を追加したり、既存のものを更新したりした後は、定期的に監査を実行することをお勧めします。CI/CDパイプラインに統合することで、セキュリティ基準を維持するのに役立ちます。

監査レポートをカスタマイズできますか？

はい、ツールはプロジェクトの特定のニーズに合わせてレポートをカスタマイズすることを許可しています。出力形式やレポートに含まれる詳細レベルを変更できます。

MCPセキュリティ監査に関する詳細情報はどこで見つけられますか？

詳細、ドキュメント、コミュニティサポートについては、公式ウェブサイト mcpdirs.com を訪れてください。

Security Audit Tool

<a href="https://glama.ai/mcp/servers/jjnmdxzmeu"> <img width="380" height="200" src="https://glama.ai/mcp/servers/jjnmdxzmeu/badge" /> </a>

A powerful MCP (Model Context Protocol) Server that audits npm package dependencies for security vulnerabilities. Built with remote npm registry integration for real-time security checks.

Features

• 🔍 Real-time security vulnerability scanning
• 🚀 Remote npm registry integration
• 📊 Detailed vulnerability reports with severity levels
• 🛡️ Support for multiple severity levels (critical, high, moderate, low)
• 📦 Compatible with npm/pnpm/yarn package managers
• 🔄 Automatic fix recommendations
• 📋 CVSS scoring and CVE references

Installing via Smithery

To install Security Audit Tool for Claude Desktop automatically via Smithery:

npx -y @smithery/cli install @qianniuspace/mcp-security-audit --client claude

MCP Integration

Option 1: Using NPX (Recommended)

1. Add MCP configuration to Cline /Cursor:

{
  "mcpServers": {
    "mcp-security-audit": {
      "command": "npx",
      "args": ["-y", "mcp-security-audit"]
    }
  }
}

Option 2: Download Source Code and Configure Manually

1. Clone the repository:

git clone https://github.com/qianniuspace/mcp-security-audit.git
cd mcp-security-audit

2. Install dependencies and build:

npm install
npm run build

3. Add MCP configuration to Cline /Cursor :

{
  "mcpServers": {
    "mcp-security-audit": {
      "command": "npx",
      "args": ["-y", "/path/to/mcp-security-audit/build/index.js"]
    }
  }
}

Configuration Screenshots

Cursor Configuration

Cline Configuration

API Response Format

The tool provides detailed vulnerability information including severity levels, fix recommendations, CVSS scores, and CVE references.

Response Examples

1. When Vulnerabilities Found (Severity-response.json)

{
  "content": [{
    "vulnerability": {
      "packageName": "lodash",
      "version": "4.17.15",
      "severity": "high",
      "description": "Prototype Pollution in lodash",
      "cve": "CVE-2020-8203",
      "githubAdvisoryId": "GHSA-p6mc-m468-83gw",
      "recommendation": "Upgrade to version 4.17.19 or later",
      "fixAvailable": true,
      "fixedVersion": "4.17.19",
      "cvss": {
        "score": 7.4,
        "vector": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N"
      },
      "cwe": ["CWE-1321"],
      "url": "https://github.com/advisories/GHSA-p6mc-m468-83gw"
    },
    "metadata": {
      "timestamp": "2024-04-23T10:00:00.000Z",
      "packageManager": "npm"
    }
  }]
}

2. When No Vulnerabilities Found (no-Severity-response.json)

{
  "content": [{
    "vulnerability": null,
    "metadata": {
      "timestamp": "2024-04-23T10:00:00.000Z",
      "packageManager": "npm",
      "message": "No known vulnerabilities found"
    }
  }]
}

Development

For development reference, check the example response files in the public directory:

• Severity-response.json : Example response when vulnerabilities are found (transformed from npm audit API response)
• no-Severity-response.json : Example response when no vulnerabilities are found (transformed from npm audit API response)

Note: The example responses shown above are transformed from the raw npm audit API responses to provide a more structured format. The original npm audit API responses contain additional metadata and may have a different structure.

Contributing

Contributions are welcome! Please read our Contributing Guide for details on our code of conduct and the process for submitting pull requests.

License

This project is licensed under the MIT License - see the LICENSE file for details.

Author

ESX (qianniuspace@gmail.com)

Links

• GitHub Repository
• Issue Tracker
• Changelog