Node.jsベースのフロントエンドエンジニアリングセキュリティ監査MCPツールmcp-web-audit：多ソース監査とレポート生成対応

たんさく

MCP Web Audit

Node.jsベースのフロントエンドエンジニアリングのセキュリティ監査ツールで、ローカルプロジェクトとリモートリポジトリの全面的な依存関係のセキュリティ監査をサポートし、詳細なホールレポートを生成できます。

セキュリティ開発者ツール #フロントエンドセキュリティ監査 #依存関係ホール検出 #自動化スキャン #MCP統合 .JavaScript

スコア : 2.5ポイント

ダウンロード数 : 7.5K

更新時間 : 2025-12-12

サイトを開く

mcp-web-auditとは？

mcp-web-auditは、フロントエンドプロジェクト向けに特別に設計されたセキュリティ監査ツールです。このツールは、あなたのプロジェクトの依存パッケージ（直接依存と間接依存の両方を含む）を自動的にスキャンし、既知のセキュリティホールを検出し、詳細な修復提案を提供します。個人プロジェクトを開発している場合でも、企業規模のアプリケーションを開発している場合でも、コードのセキュリティを確保するために使用できます。

mcp-web-auditの使い方は？

使用方法は非常に簡単です！あなたがする必要があるのは、プロジェクトのパス（ローカルフォルダまたはGitHubリポジトリのリンク）を提供するだけで、ツールが自動的に以下の手順を完了します：1) プロジェクトの依存関係を分析する 2) セキュリティホールをスキャンする 3) 詳細なレポートを生成する。複雑な設定は必要ありません。数分で完全なセキュリティ評価を得ることができます。

適用シナリオ

すべてのnpmパッケージを使用するフロントエンドプロジェクトに適しています。特に、新しいプロジェクトのリリース前のセキュリティチェック、定期的なセキュリティメンテナンス、他人のプロジェクトを引き継ぐ際のリスク評価、CI/CDパイプラインの自動化セキュリティスキャンに最適です。

主要機能

全面的な依存関係監査

直接依存だけでなく、すべての間接依存（依存関係の依存関係）も深く分析し、依存関係チェーン全体のセキュリティを確保します。

複数ソースのプロジェクトサポート

ローカルプロジェクトフォルダとリモートGitリポジトリをサポートし、GitHubなどのプラットフォーム上のプロジェクトを直接分析できます。

インテリジェントなホール検出

依存パッケージ内の既知のセキュリティホールを自動的に識別し、深刻度（高リスク、中リスク、低リスク）で分類して表示します。

詳細な修復提案

検出された各ホールに対して、具体的な修復策を提供します。推奨される安全なバージョンとアップグレード手順が含まれます。

使いやすいレポート生成

分かりやすいMarkdown形式のレポートを生成し、ホールの概要、詳細情報、修復ガイドが含まれます。

インストール不要で使用可能

npxを通じて直接実行でき、グローバルインストールは必要ありません。ディスクスペースを節約し、環境をきれいに保ちます。

利点

🔄 自動化程度が高い：分析からレポートまでの全プロセスをワンクリックで完了できます。

📊 レポートが詳細：明確なホールの説明と修復提案を提供します。

🚀 使用が簡単：コマンドラインツールで、学習コストが低いです。

🌐 広範なサポート：ローカルとリモートのプロジェクトに互換性があります。

⚡ 高速かつ効率的：数分で中型プロジェクトの全面的なスキャンを完了できます。

🔧 統合が容易：MCPサーバーとして開発ツールに統合できます。

制限

📶 ネットワーク接続が必要：リモートリポジトリのスキャンとホールデータベースの取得にはインターネットが必要です。

💾 一時的なディスク占有：分析中に一時ファイルが作成されます。

🔍 npm auditに依存：基盤となるnpmのホールデータベースに依存しているため、遅延が発生する可能性があります。

📁 フロントエンドプロジェクトのみ：主にnpmパッケージ管理のJavaScript/TypeScriptプロジェクトを対象としています。

使い方

プロジェクトを準備する

あなたのプロジェクトにpackage.jsonファイルがあることを確認してください。これは、ツールが依存関係を分析するための基礎です。

セキュリティ監査を実行する

ターミナルを開き、npxコマンドを使用してツールを実行し、監査対象のプロジェクトのパスを指定します。

監査結果を確認する

ツールは自動的にaudit-report.mdファイルを生成します。好きなMarkdownビューアで開けば確認できます。

提案に従って修復する

レポートに記載されている修復提案に従って、ホールのある依存パッケージのバージョンを更新します。

使用例

新しいプロジェクトのリリース前のセキュリティチェック

新しく開発したフロントエンドアプリケーションを本番環境にデプロイする前に、全面的なセキュリティ監査を行い、既知のセキュリティホールがないことを確認します。

既存プロジェクトの定期的なメンテナンス

毎月、保守中のプロジェクトのセキュリティスキャンを行い、新しく発生したホールをすぐに発見して修復します。

サードパーティのオープンソースプロジェクトの評価

特定のオープンソースライブラリを使用するかどうかを決定する前に、その依存関係のセキュリティを分析し、セキュリティリスクのある依存関係を導入しないようにします。

CI/CDパイプラインへの統合

自動化されたデプロイプロセスにセキュリティ監査ステップを追加し、高リスクのホールが検出された場合はデプロイをブロックします。

よくある質問

このツールは私のプロジェクトファイルを変更しますか？

監査にどれくらいの時間がかかりますか？

監査レポートのホールレベルをどのように理解すればいいですか？

このツールはどのパッケージマネージャーをサポートしていますか？

私のプロジェクトにpackage-lock.jsonがない場合はどうなりますか？

私有Gitリポジトリを監査できますか？

🚀 mcp-web-audit

このツールは Node.js をベースとしたフロントエンドエンジニアリングのセキュリティ監査ツールで、ローカルプロジェクトとリモートリポジトリの全面的な依存関係のセキュリティ監査をサポートしています。

✨ 主な機能

🛡️ 全面的な監査: フロントエンドエンジニアリングのすべての直接および間接的な依存関係を監査します。
🌐 多ソースサポート: ローカルエンジニアリングとリモートリポジトリ（GitHub など）の監査をサポートします。
📊 詳細なレポート: 標準形式の Markdown 監査レポートを生成します。
🔌 MCP 統合: MCP (Model Context Protocol) サーバーとして監査サービスを提供します。
⚡ 自動化: 全自動の監査プロセスで、手動介入は不要です。
🚀 CLI サポート: npx で直接呼び出すことができ、インストール不要です。

📋 監査内容

脆弱性検出: 依存パッケージ内の既知のセキュリティ脆弱性を識別します。
バージョン分析: 依存パッケージのバージョンのセキュリティと互換性をチェックします。
依存関係チェーン分析: 間接的な依存関係を詳細に分析します。
リスク評価: 脆弱性を深刻度別に分類します（Critical、High、Moderate、Low）。
修復提案: 具体的な修復策と提案を提供します。

🚀 クイックスタート

npx を使用する (推奨)

インストールせずに直接使用できます。

# ローカルプロジェクトを監査する
npx mcp-web-audit /path/to/your/project

# リモートリポジトリを監査する
npx mcp-web-audit https://github.com/user/repo

# 出力ファイルを指定する
npx mcp-web-audit /path/to/project -o ./my-audit.md

# ヘルプを表示する
npx mcp-web-audit --help

# バージョンを表示する
npx mcp-web-audit --version

グローバルインストール

# グローバルインストール
npm install -g mcp-web-audit

# コマンドを使用する
mcp-web-audit /path/to/your/project

ローカルで開発バージョンをインストールする

# リポジトリをクローンする
git clone https://github.com/shenzhihao/mcp-web-audit.git
cd mcp-web-audit

# 依存関係をインストールする
npm install

# ローカルでテストする
node bin/cli.js /path/to/test/project

💻 使用例

基本的な使用法

npx mcp-web-audit [options] <プロジェクトパス>

パラメータ説明

<プロジェクトパス>: 監査対象のプロジェクトのパス（ローカルの絶対パスまたはリモートリポジトリの URL）

オプション

-o, --output <ファイル>: 出力レポートのファイルパスを指定します (デフォルト: ./audit-report.md)
-h, --help: ヘルプ情報を表示します
-v, --version: バージョン情報を表示します

具体的な使用例

# 現在のディレクトリを監査する
npx mcp-web-audit .

# 指定したローカルプロジェクトを監査する
npx mcp-web-audit /Users/username/my-project

# GitHub リポジトリを監査する
npx mcp-web-audit https://github.com/facebook/react

# 出力ファイル名を指定する
npx mcp-web-audit ./my-project -o security-report.md

# ヘルプ情報を表示する
npx mcp-web-audit --help

MCP サーバーとして実行する

node src/mcpServer.js

プログラムで呼び出す

import { auditPackage } from "mcp-web-audit";

// ローカルプロジェクトを監査する
await auditPackage("/path/to/your/project", "./audit-report.md");

// リモートリポジトリを監査する
await auditPackage("https://github.com/user/repo", "./audit-report.md");

📊 監査レポートの例

生成される監査レポートには以下の情報が含まれます。

プロジェクト概要: プロジェクト名、バージョンなどの基本情報
脆弱性集計: 深刻度別に集計された脆弱性の数
詳細な脆弱性リスト: 各脆弱性の詳細情報で、以下が含まれます。
- 脆弱性の説明
- 影響を受けるパッケージとバージョン
- 深刻度評価
- 修復提案
- 関連リンク

📝 要件

Node.js: >= 14.0.0
ネットワーク: リモートリポジトリを監査する際にはネットワーク接続が必要です。
ディスク容量: 少なくとも 100MB の空き容量が必要です（一時ファイル用）

📁 プロジェクト構造

src/
├── audit/              # 監査の核心モジュール
│   ├── currentAudit.js  # 現在のプロジェクトの監査
│   ├── getDepChain.js   # 依存関係チェーンの分析
│   ├── index.js         # 監査のメインエントリー
│   ├── normalizeAuditResult.js  # 結果の標準化
│   ├── npmAudit.js      # NPM の監査
│   └── remoteAudit.js   # リモートの監査
├── common/             # 汎用ユーティリティ
│   └── utils.js        # ユーティリティ関数
├── entry/              # プログラムのエントリー
│   └── index.js        # 主要な API エントリー
├── generateLock/       # Lock ファイルの生成
│   ├── generateLock.js # Lock ファイルの生成ロジック
│   └── index.js        # モジュールのエントリー
├── main/               # メインプログラム
│   └── index.js        # メインプログラムのエントリー
├── parseProject/       # プロジェクトの解析
│   ├── index.js        # 解析のエントリー
│   ├── parseLocalProject.js   # ローカルプロジェクトの解析
│   └── parseRemoteProject.js  # リモートプロジェクトの解析
├── render/             # レポートのレンダリング
│   ├── index.js        # レンダリングのエントリー
│   ├── markdown.js     # Markdown のレンダリング
│   └── test/           # テストファイル
├── workDir/            # 作業ディレクトリの管理
│   └── index.js        # 作業ディレクトリの操作
└── mcpServer.js        # MCP サーバー

🔧 技術詳細

auditPackage(projectRoot, savePath)

指定されたプロジェクトのすべての依存パッケージを監査します。

パラメータ:

projectRoot (string): プロジェクトのルートディレクトリの絶対パスまたはリモートリポジトリの URL
savePath (string): 監査レポートの保存先パス

使用例:

// ローカルプロジェクト
await auditPackage("/Users/username/my-project", "./audit.md");

// リモートリポジトリ
await auditPackage("https://github.com/facebook/react", "./react-audit.md");