Ferramenta de Auditoria de Segurança

O que é a Auditoria de Segurança MCP?

A Auditoria de Segurança MCP é uma ferramenta poderosa projetada para auditar as dependências de pacotes npm em busca de vulnerabilidades de segurança. Ela utiliza o Protocolo de Contexto de Modelo (MCP) para garantir que os desenvolvedores possam manter aplicações seguras, identificando riscos potenciais em suas dependências. A ferramenta se integra perfeitamente com registros npm remotos, permitindo verificações de segurança em tempo real e fornecendo feedback imediato sobre o status de segurança de seus pacotes.

Recursos da Auditoria de Segurança MCP

• Verificações de Segurança em Tempo Real: A integração com registros npm remotos permite avaliações instantâneas de segurança das dependências de pacotes.
• Relatórios Abrangentes de Vulnerabilidades: A Auditoria de Segurança MCP fornece relatórios detalhados sobre vulnerabilidades identificadas, incluindo níveis de severidade e ações recomendadas.
• Interface Amigável: A ferramenta é projetada com a usabilidade em mente, facilitando a navegação e a compreensão do status de segurança dos projetos pelos desenvolvedores.
• Código Aberto: Sendo um modelo público, os desenvolvedores podem contribuir para sua melhoria e personalizá-lo de acordo com suas necessidades.
• Suporte da Comunidade: Com uma comunidade ativa de usuários e colaboradores, os desenvolvedores podem buscar ajuda e compartilhar insights sobre práticas de segurança.

Como Usar a Auditoria de Segurança MCP

1. Instalação: Comece instalando a ferramenta de Auditoria de Segurança MCP via npm. Use o comando:

   npm install mcp-security-audit
   

2. Executando a Auditoria: Após a instalação, navegue até o diretório do seu projeto e execute o comando de auditoria:

   mcp-security-audit
   

3. Revisando o Relatório: Assim que a auditoria estiver completa, revise o relatório gerado. Ele listará todas as vulnerabilidades encontradas, categorizadas por severidade.

4. Tomando Ações: Siga as recomendações fornecidas no relatório para abordar as vulnerabilidades. Isso pode incluir atualizar pacotes, remover dependências não utilizadas ou aplicar correções.

5. Monitoramento Contínuo: Execute a auditoria regularmente como parte do seu fluxo de trabalho de desenvolvimento para garantir a conformidade contínua com a segurança.

Perguntas Frequentes

Que tipos de vulnerabilidades a Auditoria de Segurança MCP pode detectar?

A Auditoria de Segurança MCP pode detectar uma ampla gama de vulnerabilidades, incluindo pacotes desatualizados, falhas de segurança conhecidas e potenciais explorações em suas dependências npm.

A Auditoria de Segurança MCP é gratuita para usar?

Sim, a Auditoria de Segurança MCP é uma ferramenta de código aberto e é gratuita para usar. Os desenvolvedores também podem contribuir para seu desenvolvimento e melhoria.

Com que frequência devo executar a auditoria?

Recomenda-se executar a auditoria regularmente, especialmente após adicionar novas dependências ou atualizar as existentes. Integrá-la ao seu pipeline de CI/CD pode ajudar a manter os padrões de segurança.

Posso personalizar os relatórios de auditoria?

Sim, a ferramenta permite a personalização dos relatórios para atender às necessidades específicas do seu projeto. Você pode modificar o formato de saída e o nível de detalhe incluído nos relatórios.

Onde posso encontrar mais informações sobre a Auditoria de Segurança MCP?

Para mais detalhes, documentação e suporte da comunidade, visite o site oficial em mcpdirs.com.

Security Audit Tool

<a href="https://glama.ai/mcp/servers/jjnmdxzmeu"> <img width="380" height="200" src="https://glama.ai/mcp/servers/jjnmdxzmeu/badge" /> </a>

A powerful MCP (Model Context Protocol) Server that audits npm package dependencies for security vulnerabilities. Built with remote npm registry integration for real-time security checks.

Features

• 🔍 Real-time security vulnerability scanning
• 🚀 Remote npm registry integration
• 📊 Detailed vulnerability reports with severity levels
• 🛡️ Support for multiple severity levels (critical, high, moderate, low)
• 📦 Compatible with npm/pnpm/yarn package managers
• 🔄 Automatic fix recommendations
• 📋 CVSS scoring and CVE references

Installing via Smithery

To install Security Audit Tool for Claude Desktop automatically via Smithery:

npx -y @smithery/cli install @qianniuspace/mcp-security-audit --client claude

MCP Integration

Option 1: Using NPX (Recommended)

1. Add MCP configuration to Cline /Cursor:

{
  "mcpServers": {
    "mcp-security-audit": {
      "command": "npx",
      "args": ["-y", "mcp-security-audit"]
    }
  }
}

Option 2: Download Source Code and Configure Manually

1. Clone the repository:

git clone https://github.com/qianniuspace/mcp-security-audit.git
cd mcp-security-audit

2. Install dependencies and build:

npm install
npm run build

3. Add MCP configuration to Cline /Cursor :

{
  "mcpServers": {
    "mcp-security-audit": {
      "command": "npx",
      "args": ["-y", "/path/to/mcp-security-audit/build/index.js"]
    }
  }
}

Configuration Screenshots

Cursor Configuration

Cline Configuration

API Response Format

The tool provides detailed vulnerability information including severity levels, fix recommendations, CVSS scores, and CVE references.

Response Examples

1. When Vulnerabilities Found (Severity-response.json)

{
  "content": [{
    "vulnerability": {
      "packageName": "lodash",
      "version": "4.17.15",
      "severity": "high",
      "description": "Prototype Pollution in lodash",
      "cve": "CVE-2020-8203",
      "githubAdvisoryId": "GHSA-p6mc-m468-83gw",
      "recommendation": "Upgrade to version 4.17.19 or later",
      "fixAvailable": true,
      "fixedVersion": "4.17.19",
      "cvss": {
        "score": 7.4,
        "vector": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N"
      },
      "cwe": ["CWE-1321"],
      "url": "https://github.com/advisories/GHSA-p6mc-m468-83gw"
    },
    "metadata": {
      "timestamp": "2024-04-23T10:00:00.000Z",
      "packageManager": "npm"
    }
  }]
}

2. When No Vulnerabilities Found (no-Severity-response.json)

{
  "content": [{
    "vulnerability": null,
    "metadata": {
      "timestamp": "2024-04-23T10:00:00.000Z",
      "packageManager": "npm",
      "message": "No known vulnerabilities found"
    }
  }]
}

Development

For development reference, check the example response files in the public directory:

• Severity-response.json : Example response when vulnerabilities are found (transformed from npm audit API response)
• no-Severity-response.json : Example response when no vulnerabilities are found (transformed from npm audit API response)

Note: The example responses shown above are transformed from the raw npm audit API responses to provide a more structured format. The original npm audit API responses contain additional metadata and may have a different structure.

Contributing

Contributions are welcome! Please read our Contributing Guide for details on our code of conduct and the process for submitting pull requests.

License

This project is licensed under the MIT License - see the LICENSE file for details.

Author

ESX (qianniuspace@gmail.com)

Links

• GitHub Repository
• Issue Tracker
• Changelog