Security Audit Tool
2025.02.25
24
TypeScript安全审计npm包管理开发效率
mcp-security-audit 是一个强大的 MCP(Model Context Protocol)服务器,用于审计 npm 包依赖项中的安全漏洞。它集成了远程 npm 注册表,提供实时安全检查功能。
View on GitHub
Overview
基本能力
产品定位
mcp-security-audit 是一个专注于 npm 包安全审计的工具,旨在帮助开发者识别和修复项目依赖中的安全漏洞。
核心功能
- 🔍 实时安全漏洞扫描
- 🚀 远程 npm 注册表集成
- 📊 详细的漏洞报告(包含严重级别)
- 🛡️ 支持多种严重级别(严重、高、中、低)
- 📦 兼容 npm/pnpm/yarn 包管理器
- 🔄 自动修复建议
- 📋 CVSS 评分和 CVE 引用
适用场景
- 开发过程中检查项目依赖的安全性
- CI/CD 流程中集成安全检查
- 定期审计现有项目的依赖安全状态
工具列表
- npm/pnpm/yarn:包管理器支持
- CVSS:漏洞评分系统
- CVE:通用漏洞披露
常见问题解答
- 如何集成到现有项目?通过 MCP 配置或直接使用 npx 命令
- 支持哪些包管理器?npm、pnpm、yarn
- 如何获取漏洞详细信息?报告包含 CVE 编号和 GitHub Advisory ID
使用教程
使用依赖
需要安装 Node.js 和 npm/pnpm/yarn 等包管理器。
安装教程
通过 Smithery 安装
npx -y @smithery/cli install @qianniuspace/mcp-security-audit --client claude
MCP 集成
选项1:使用 NPX(推荐)
- 添加 MCP 配置到 Cursor:
{
"Name": "mcp-security-audit",
"Type": "command",
"Command": "npx -y mcp-security-audit"
}
- 添加 MCP 配置到 Cline:
{
"mcpServers": {
"mcp-security-audit": {
"command": "npx",
"args": ["-y", "mcp-security-audit"]
}
}
}
选项2:手动下载源代码并配置
- 克隆仓库:
git clone https://github.com/qianniuspace/mcp-security-audit.git
cd mcp-security-audit
- 安装依赖并构建:
npm install
npm run build
- 添加 MCP 配置到 Cursor:
{
"Name": "mcp-security-audit",
"Type": "command",
"Command": "node /path/to/mcp-security-audit/build/index.js"
}
- 添加 MCP 配置到 Cline:
{
"mcpServers": {
"mcp-security-audit": {
"command": "npx",
"args": ["-y", "/path/to/mcp-security-audit/build/index.js"]
}
}
}
调试方式
安装完成后,可以通过以下命令测试功能:
npx mcp-security-audit
或
node /path/to/mcp-security-audit/build/index.js