Dependency Management MCP Server

🚀 Sonatype MCP Server

Model Context Protocol (MCP)サーバーで、AIアシスタントをSonatypeの依存関係管理とセキュリティインテリジェンスプラットフォームに接続します。オープンソースのセキュリティ脆弱性、ライセンスコンプライアンス、および依存関係の健全性に関するリアルタイムの洞察をAIコーディングアシスタントに付与します。

🚀 クイックスタート

Sonatype MCP Serverは、開発ワークフロー内で直接、AIアシスタントがSonatypeの包括的な依存関係インテリジェンスにアクセスできるようにします。Model Context Protocolと統合することで、AIアシスタントはIDEを離れることなく、依存関係に関する適切な決定を下し、セキュリティリスクを特定し、コンプライアンスを維持するのを支援します。

✨ 主な機能

• コンポーネントバージョン選択 - 最初から最適なバージョンを選択し、余計な作業を省きます。
• セキュリティ脆弱性スキャン - プロジェクトの依存関係における既知の脆弱性を特定します。
• ライセンスコンプライアンスチェック - 依存関係が組織のライセンスポリシーを満たしていることを確認します。
• 依存関係健全性分析 - 依存関係の品質、メンテナンス状況、およびリスク要因に関する洞察を得ます。
• リアルタイムセキュリティアドバイザリ - 依存関係に影響を与える最新のセキュリティ脅威に関する情報を最新の状態に保ちます。
• 修復ガイダンス - 脆弱性とコンプライアンスの問題を解決するための実行可能な推奨事項を受け取ります。

📦 インストール

• stdio MCPサーバーのみをサポートするIDEやツール（IntelliJなど）の場合、mcp-remoteをインストールします。

  npm install -g mcp-remote
  

📚 ドキュメント

セットアップ

Sonatype MCP ServerはリモートMCPサーバーとして実行されます。IDEまたはAIアシスタントのセットアップ手順を選択してください。

Gemini Code Assist

<your-token>を、https://guide.sonatype.com/settings/tokens で生成した個人用APIトークンに置き換えます。

{
  "mcpServers": {
    "discoveredServer": {
      "httpUrl": "https://mcp.guide.sonatype.com/mcp",
      "headers": {
        "Authorization": "Bearer <your-token>"
      }
    }
  }
}

Claude Code

Claude CLIを使用してサーバーを追加します。 <your-token>を、https://guide.sonatype.com/settings/tokens で生成した個人用APIトークンに置き換えます。

claude mcp add --transport http --scope user sonatype-mcp https://mcp.guide.sonatype.com/mcp --header "Authorization: Bearer <your-token>"

VS Code Copilot

グローバルなVS Codeのmcp.jsonに以下の設定を追加するか、ワークスペースに.vscode/mcp.jsonファイルを作成します。 <your-token>を、https://guide.sonatype.com/settings/tokens で生成した個人用APIトークンに置き換えます。

{
  "servers": {
    "sonatype-mcp": {
      "url": "https://mcp.guide.sonatype.com/mcp",
      "type": "http",
      "headers": {
        "Authorization": "Bearer <your-token>"
      }
    }
  }
}

Windsurf

~/.codeium/windsurf/mcp_config.jsonを作成または編集します。 <your-token>を、https://guide.sonatype.com/settings/tokens で生成した個人用APIトークンに置き換えます。

{
  "mcpServers": {
    "sonatype-mcp": {
      "command": "npx",
      "args": [
        "mcp-remote",
        "https://mcp.guide.sonatype.com/mcp",
        "--header",
        "Authorization: Bearer <your-token>"
      ]
    }
  }
}

IntelliJ with Junie

• グローバルスコープ：IDEの設定 → ツール → Junie → MCP設定に移動します。"+"をクリックして追加します。
• プロジェクトスコープ：プロジェクトのルートに.junie/mcp/.mcp.jsonを作成します。 <your-token>を、https://guide.sonatype.com/settings/tokens で生成した個人用APIトークンに置き換えます。

{
  "mcpServers": {
    "sonatype-mcp": {
      "command": "npx",
      "args": [
        "mcp-remote",
        "https://mcp.guide.sonatype.com/mcp",
        "--header",
        "Authorization: Bearer <your-token>"
      ]
    }
  }
}

Kiro

~/.kiro/settings/mcp.jsonを作成または編集します。 <your-token>を、https://guide.sonatype.com/settings/tokens で生成した個人用APIトークンに置き換えます。

{
  "mcpServers": {
    "sonatype-mcp": {
      "command": "npx",
      "args": [
        "mcp-remote",
        "https://mcp.guide.sonatype.com/mcp",
        "--header",
        "Authorization: Bearer <your-token>"
      ]
    }
  }
}

Cursor

Cursorはリモートサーバーを直接サポートしています。~/.cursor/mcp.jsonに追加します。 <your-token>を、https://guide.sonatype.com/settings/tokens で生成した個人用APIトークンに置き換えます。

{
  "mcpServers": {
    "sonatype-mcp": {
      "type": "http",
      "url": "https://mcp.guide.sonatype.com/mcp",
      "headers": {
        "Authorization": "Bearer <your-token>"
      }
    }
  }
}

Codex (IDE Plugin & CLI)

~/.codex/config.tomlを作成または編集します。 <your-token>を、https://guide.sonatype.com/settings/tokens で生成した個人用APIトークンに置き換えます。

[mcp_servers.sonatype-mcp]
command = "npx"
args = ["-y", "mcp-remote", "https://mcp.guide.sonatype.com/mcp", "--header", "Authorization: Bearer <your-token>"]
startup_timeout_ms = 20000

認証

Sonatype MCP ServerはAPIトークン認証を使用します。

1. Sonatype Guideアカウントを作成し、https://guide.sonatype.com/settings/tokens で個人用APIトークンを生成します。
2. Authorization: Bearer <your-token>ヘッダー形式を使用して、トークンをMCP設定に追加します。
3. 上記の設定例で<your-token>を実際のトークンに置き換えます。

APIトークンはすべてのリクエストを自動的に認証します。トークンを安全に保管し、バージョン管理システムにコミットしないでください。

AIアシスタントルールの設定

Sonatype MCP Serverの有効性を最大化するには、依存関係、パッケージ、またはソフトウェアサプライチェーンセキュリティを扱う際に、AIアシスタントがSonatype MCPツールを優先的に使用するように設定してください。以下は、サポートされている各IDEまたはツールの手順です。

Claude Code

CLAUDE.mdファイルを使用してカスタム指示を作成します。

• グローバル（すべてのプロジェクト）：~/.claude/CLAUDE.mdを作成します。
• プロジェクト（特定のリポジトリ）：プロジェクトのルートに.claude/CLAUDE.mdを作成します。 以下の指示を追加します。

## Sonatype MCP

依存関係、パッケージ管理、またはソフトウェアサプライチェーンセキュリティに関連するコードを扱う際には、常にSonatype MCPツールを優先して使用してください。依存関係を追加または更新する前に、利用可能なMCPツールを使用してバージョンを調査し、脆弱性をチェックし、推奨事項を取得してください。

Cursor

プロジェクトのルートに.cursorrulesファイルを作成します。

• プロジェクト（特定のリポジトリ）：プロジェクトのルートに.cursorrulesを作成します。 以下の指示を追加します。

## Sonatype MCP

依存関係、パッケージ管理、またはソフトウェアサプライチェーンセキュリティに関連するコードを扱う際には、常にSonatype MCPツールを優先して使用してください。依存関係を追加または更新する前に、利用可能なMCPツールを使用してバージョンを調査し、脆弱性をチェックし、推奨事項を取得してください。

VS Code Copilot

.github/copilot-instructions.mdファイルを使用してカスタム指示を作成します。

• プロジェクト（特定のリポジトリ）：プロジェクトのルートに.github/copilot-instructions.mdを作成します。 以下の指示を追加します。

## Sonatype MCP

依存関係、パッケージ管理、またはソフトウェアサプライチェーンセキュリティに関連するコードを扱う際には、常にSonatype MCPツールを優先して使用してください。依存関係を追加または更新する前に、利用可能なMCPツールを使用してバージョンを調査し、脆弱性をチェックし、推奨事項を取得してください。

Windsurf

Windsurfのカスタマイズ機能を使用してルールを作成します。

• グローバル（すべてのプロジェクト）：
  1. Cascade Codeの右上にある「Rules, Memories & Workflows」アイコンをクリックするか、Windsurf設定で「Rules」を検索します。
  2. 「Rules」に移動します。
  3. 「+ Global」をクリックして新しいグローバルルールを作成します。
  4. 以下の内容を追加します。

## Sonatype MCP

依存関係、パッケージ管理、またはソフトウェアサプライチェーンセキュリティに関連するコードを扱う際には、常にSonatype MCPツールを優先して使用してください。依存関係を追加または更新する前に、利用可能なMCPツールを使用してバージョンを調査し、脆弱性をチェックし、推奨事項を取得してください。

• プロジェクト（特定のリポジトリ）：グローバルの手順に従い、「+ Workspace」をクリックするか、プロジェクトのルートに.windsurf/rules/sonatype.mdを作成します。

## Sonatype MCP

依存関係、パッケージ管理、またはソフトウェアサプライチェーンセキュリティに関連するコードを扱う際には、常にSonatype MCPツールを優先して使用してください。依存関係を追加または更新する前に、利用可能なMCPツールを使用してバージョンを調査し、脆弱性をチェックし、推奨事項を取得してください。

IntelliJ with Junie

.junie/guidelines.mdファイルを使用してカスタムガイドラインを作成します。

• プロジェクト（特定のリポジトリ）：プロジェクトのルートに.junie/guidelines.mdを作成します。 以下の指示を追加します。

## Sonatype MCP

依存関係、パッケージ管理、またはソフトウェアサプライチェーンセキュリティに関連するコードを扱う際には、常にSonatype MCPツールを優先して使用してください。依存関係を追加または更新する前に、利用可能なMCPツールを使用してバージョンを調査し、脆弱性をチェックし、推奨事項を取得してください。

Kiro

.kiro/steering/ディレクトリにステアリングファイルを作成します。

• プロジェクト（特定のリポジトリ）：プロジェクトのルートに.kiro/steering/sonatype.mdを作成します。 常に含まれるようにYAMLフロントマターを追加します。

---
inclusion: always
---

## Sonatype MCP

依存関係、パッケージ管理、またはソフトウェアサプライチェーンセキュリティに関連するコードを扱う際には、常にSonatype MCPツールを優先して使用してください。依存関係を追加または更新する前に、利用可能なMCPツールを使用してバージョンを調査し、脆弱性をチェックし、推奨事項を取得してください。

Gemini Code Assist

GEMINI.mdファイルを使用してカスタム指示を作成します。

• グローバル（すべてのプロジェクト）：~/.gemini/GEMINI.mdを作成します。
• プロジェクト（特定のリポジトリ）：プロジェクトのルートにGEMINI.mdを作成します。 以下の指示を追加します。

## Sonatype MCP

依存関係、パッケージ管理、またはソフトウェアサプライチェーンセキュリティに関連するコードを扱う際には、常にSonatype MCPツールを優先して使用してください。依存関係を追加または更新する前に、利用可能なMCPツールを使用してバージョンを調査し、脆弱性をチェックし、推奨事項を取得してください。

使用例

通常の開発過程では、LLMが依存関係の使用またはアップグレードを決定します。当社のMCPツールは透過的に使用され、最新の情報を元により良い提案を提供し、コンポーネントとバージョンの選択を検証する余計な作業を排除します。

以下は、開発ワークフローでSonatype MCP Serverを明示的に活用するいくつかの方法です。

特定のバージョンを分析する

AIアシスタントに次のように問い合わせます。

"react 18.2.0の詳細なセキュリティ情報を取得する"

アシスタントは、CVSSスコア付きのCVE、ライセンス情報、カテゴリ、廃止予定状況、およびカタログ日付を含む包括的な詳細を返します。

最新の安定版を見つける

AIアシスタントに次のように問い合わせます。

"spring - bootの最新の安定版は何ですか？"

アシスタントは、完全なセキュリティ分析、ポリシー違反、ライセンス、リスクスコア、およびアップグレード推奨事項を含む最新バージョンを返します。

セキュリティ評価ワークフロー

アシスタントは両方のツールを使用して、現在のバージョンと最新バージョンを比較し、実行可能なセキュリティガイダンスを提供できます。

利用可能なツール

Sonatype MCP Serverは、AIアシスタント向けに3つの強力なツールを提供します。

• getComponentVersion - コンポーネントの特定のバージョンに関するコンポーネント情報を取得します。
• getLatestComponentVersion - コンポーネントの最新バージョンに関するコンポーネント情報を取得します。
• getRecommendedComponentVersions - コンポーネントの現在のバージョンに基づいて、アップグレードするための推奨バージョンのセットを取得します。バージョンが指定されていない場合は、コンポーネントの開始用の推奨バージョンのセットを取得します。

サポートとフィードバック

• 問題とバグレポート：GitHub Issues

Sonatypeについて

Sonatypeは、ソフトウェアサプライチェーンセキュリティのリーダーであり、開発ライフサイクル全体を通じて組織がオープンソースのリスクを管理するのを支援するソリューションを提供しています。詳細はsonatype.comで確認できます。

安全なソフトウェアサプライチェーンを重視する開発者のために❤️ で開発されています。