🚀 MCP 安全分析师
MCP 安全分析师是一个遵循模型上下文协议 (MCP) 的服务器,它整合了 OSV.dev 数据库和 AI 模型,能够帮助用户识别并分析代码中的潜在漏洞,为代码安全保驾护航。
🚀 快速开始
要使用 MCP 安全分析师,您需要先完成安装。安装完成后,配置您的 LLM 使用 mcp-osv 作为代理,即可开始利用其提供的工具进行代码安全分析。
✨ 主要特性
- 漏洞检查:使用 OSV.dev 数据库进行漏洞检查,让您及时发现代码依赖项中的已知漏洞。
- 基本代码安全分析:具备基本代码安全分析功能,对代码进行初步的安全评估。
- AI 模型集成:与 AI 模型集成以提供安全洞察,借助 AI 的强大能力,为您提供更深入的安全分析和改进建议。
- MCP 协议支持:支持 MCP 协议以实现与各种 AI 工具的无缝连接,方便您在不同的工作环境中使用。
- 可选静态代码分析:若安装了 Semgrep,可进行可选的静态代码分析,进一步增强代码安全检测能力。
📦 安装指南
核心需求
make deps
make install
可选:Semgrep 安装
为了增强静态代码分析功能,可以安装 Semgrep:
macOS
brew install semgrep
Linux
python3 -m pip install semgrep
其他平台
请参阅 Semgrep 安装指南 以获取详细说明。
即使未安装 Semgrep,MCP 服务器也能正常运行,但在分析目录时会跳过静态代码分析步骤。
mcp-osv 命令将被安装到 PATH 中,并使用标准输入输出方法。
💻 使用示例
基础用法
检查依赖项中的已知漏洞
# 检查某个包的漏洞
mcp check_vulnerabilities --package_name=example-package --version=1.0.0
分析代码的安全性
# 分析特定文件
mcp analyze_security --file_path=/path/to/your/file
高级用法
与 AI 模型集成使用
此服务器设计用于与 Claude 和 Cursor 等 AI 模型通过 MCP 协议连接。AI 模型可以使用提供的工具进行以下操作:
- 检查依赖项中的已知漏洞
- 分析代码的安全性
- 提供安全改进的建议
与 Cursor 连接
参见 mcp.json-template 以获取与 Cursor IDE 配合使用的示例。
完成设置后,重新启动并执行类似的操作:
# 检查某个包的漏洞
"检查 'express' 版本 '4.17.1' 包中的漏洞"
# 分析特定文件
"分析 '文件名' 文件的安全性"
示例输出:
与 Claude 连接
提供一个完整的配置文件示例:
{
"mcp": {
"servers": [
{
"name": "security_analyzer",
"host": "localhost",
"port": 5005,
"secret": "your-secret-token"
}
]
}
}
📚 详细文档
工具说明
check_vulnerabilities
检查依赖项中是否存在已知漏洞,使用 OSV.dev 数据库。
参数:
package_name: 要检查的包名version: 要检查的包版本
analyze_security
基于 https://osv.dev 分析代码中的潜在安全问题。
参数:
file_path: 要分析的文件路径
🔧 技术细节
开发步骤
要添加新的安全分析功能,请按照以下步骤操作:
- 在
analyzers文件夹中创建一个新的分析器类。 - 实现所需的漏洞检测和修复建议方法。
- 更新
setup.py以包含新分析器。
参考 GitHub 链接 获取更多信息。
调试方法
在 VSCode 中,使用开发者工具:
# 打开开发者工具
Ctrl+Shift+I 或 Cmd+Shift+I
# 访问控制台
F12 或 Cmd+Alt+I
📄 许可证
本项目采用 MIT 许可证。