Инструмент аудита безопасности

Что такое аудит безопасности MCP?

Аудит безопасности MCP — это мощный инструмент, предназначенный для проверки зависимостей пакетов npm на наличие уязвимостей безопасности. Он использует Протокол Модельного Контекста (MCP), чтобы обеспечить разработчиков возможностью поддерживать безопасные приложения, выявляя потенциальные риски в их зависимостях. Инструмент бесшовно интегрируется с удаленными реестрами npm, позволяя проводить проверки безопасности в реальном времени и предоставляя разработчикам немедленную обратную связь о статусе безопасности их пакетов.

Особенности аудита безопасности MCP

• Проверки безопасности в реальном времени: Интеграция с удаленными реестрами npm позволяет мгновенно оценивать безопасность зависимостей пакетов.
• Полные отчеты о уязвимостях: Аудит безопасности MCP предоставляет подробные отчеты о выявленных уязвимостях, включая уровни серьезности и рекомендуемые действия.
• Удобный интерфейс: Инструмент разработан с учетом удобства использования, что делает его простым для навигации и понимания статуса безопасности проектов разработчиков.
• Открытый исходный код: Будучи публичным шаблоном, разработчики могут вносить свой вклад в его улучшение и настраивать его в соответствии со своими потребностями.
• Поддержка сообщества: С активным сообществом пользователей и участников разработчики могут искать помощь и делиться мнениями по вопросам практик безопасности.

Как использовать аудит безопасности MCP

1. Установка: Начните с установки инструмента аудита безопасности MCP через npm. Используйте команду:

   npm install mcp-security-audit
   

2. Запуск аудита: После установки перейдите в каталог вашего проекта и выполните команду аудита:

   mcp-security-audit
   

3. Просмотр отчета: После завершения аудита просмотрите сгенерированный отчет. Он перечислит все найденные уязвимости, классифицированные по уровням серьезности.

4. Принятие мер: Следуйте рекомендациям, указанным в отчете, чтобы устранить уязвимости. Это может включать обновление пакетов, удаление неиспользуемых зависимостей или применение патчей.

5. Непрерывный мониторинг: Регулярно запускайте аудит как часть вашего рабочего процесса разработки, чтобы обеспечить постоянное соблюдение стандартов безопасности.

Часто задаваемые вопросы

Какие типы уязвимостей может обнаружить аудит безопасности MCP?

Аудит безопасности MCP может обнаружить широкий спектр уязвимостей, включая устаревшие пакеты, известные проблемы безопасности и потенциальные эксплойты в ваших зависимостях npm.

Бесплатен ли аудит безопасности MCP?

Да, аудит безопасности MCP — это инструмент с открытым исходным кодом и его можно использовать бесплатно. Разработчики также могут вносить свой вклад в его разработку и улучшение.

Как часто я должен запускать аудит?

Рекомендуется регулярно запускать аудит, особенно после добавления новых зависимостей или обновления существующих. Интеграция его в ваш CI/CD процесс может помочь поддерживать стандарты безопасности.

Могу ли я настроить отчеты аудита?

Да, инструмент позволяет настраивать отчеты в соответствии с конкретными потребностями вашего проекта. Вы можете изменить формат вывода и уровень детализации, включаемый в отчеты.

Где я могу найти больше информации об аудите безопасности MCP?

Для получения дополнительной информации, документации и поддержки сообщества посетите официальный сайт по адресу mcpdirs.com.

Security Audit Tool

<a href="https://glama.ai/mcp/servers/jjnmdxzmeu"> <img width="380" height="200" src="https://glama.ai/mcp/servers/jjnmdxzmeu/badge" /> </a>

A powerful MCP (Model Context Protocol) Server that audits npm package dependencies for security vulnerabilities. Built with remote npm registry integration for real-time security checks.

Features

• 🔍 Real-time security vulnerability scanning
• 🚀 Remote npm registry integration
• 📊 Detailed vulnerability reports with severity levels
• 🛡️ Support for multiple severity levels (critical, high, moderate, low)
• 📦 Compatible with npm/pnpm/yarn package managers
• 🔄 Automatic fix recommendations
• 📋 CVSS scoring and CVE references

Installing via Smithery

To install Security Audit Tool for Claude Desktop automatically via Smithery:

npx -y @smithery/cli install @qianniuspace/mcp-security-audit --client claude

MCP Integration

Option 1: Using NPX (Recommended)

1. Add MCP configuration to Cline /Cursor:

{
  "mcpServers": {
    "mcp-security-audit": {
      "command": "npx",
      "args": ["-y", "mcp-security-audit"]
    }
  }
}

Option 2: Download Source Code and Configure Manually

1. Clone the repository:

git clone https://github.com/qianniuspace/mcp-security-audit.git
cd mcp-security-audit

2. Install dependencies and build:

npm install
npm run build

3. Add MCP configuration to Cline /Cursor :

{
  "mcpServers": {
    "mcp-security-audit": {
      "command": "npx",
      "args": ["-y", "/path/to/mcp-security-audit/build/index.js"]
    }
  }
}

Configuration Screenshots

Cursor Configuration

Cline Configuration

API Response Format

The tool provides detailed vulnerability information including severity levels, fix recommendations, CVSS scores, and CVE references.

Response Examples

1. When Vulnerabilities Found (Severity-response.json)

{
  "content": [{
    "vulnerability": {
      "packageName": "lodash",
      "version": "4.17.15",
      "severity": "high",
      "description": "Prototype Pollution in lodash",
      "cve": "CVE-2020-8203",
      "githubAdvisoryId": "GHSA-p6mc-m468-83gw",
      "recommendation": "Upgrade to version 4.17.19 or later",
      "fixAvailable": true,
      "fixedVersion": "4.17.19",
      "cvss": {
        "score": 7.4,
        "vector": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N"
      },
      "cwe": ["CWE-1321"],
      "url": "https://github.com/advisories/GHSA-p6mc-m468-83gw"
    },
    "metadata": {
      "timestamp": "2024-04-23T10:00:00.000Z",
      "packageManager": "npm"
    }
  }]
}

2. When No Vulnerabilities Found (no-Severity-response.json)

{
  "content": [{
    "vulnerability": null,
    "metadata": {
      "timestamp": "2024-04-23T10:00:00.000Z",
      "packageManager": "npm",
      "message": "No known vulnerabilities found"
    }
  }]
}

Development

For development reference, check the example response files in the public directory:

• Severity-response.json : Example response when vulnerabilities are found (transformed from npm audit API response)
• no-Severity-response.json : Example response when no vulnerabilities are found (transformed from npm audit API response)

Note: The example responses shown above are transformed from the raw npm audit API responses to provide a more structured format. The original npm audit API responses contain additional metadata and may have a different structure.

Contributing

Contributions are welcome! Please read our Contributing Guide for details on our code of conduct and the process for submitting pull requests.

License

This project is licensed under the MIT License - see the LICENSE file for details.

Author

ESX (qianniuspace@gmail.com)

Links

• GitHub Repository
• Issue Tracker
• Changelog