MCP Osv

🚀 MCP 安全分析師

MCP 安全分析師是一個遵循模型上下文協議 (MCP) 的服務器，它整合了 OSV.dev 數據庫和 AI 模型，能幫助用戶識別並分析代碼中的潛在漏洞，為代碼安全保駕護航。

✨ 主要特性

• 使用 OSV.dev 數據庫進行漏洞檢查，可有效識別依賴項中的已知漏洞。
• 具備基本代碼安全分析功能，能對代碼進行初步的安全評估。
• 與 AI 模型集成，藉助 AI 的強大能力提供安全洞察，給出安全改進建議。
• 支持 MCP 協議，可實現與 Claude 和 Cursor 等各種 AI 工具的無縫連接。
• 可選靜態代碼分析，若安裝了 Semgrep，能進一步增強代碼安全分析能力。

📦 安裝指南

核心需求

make deps
make install

可選：Semgrep 安裝

為了增強靜態代碼分析功能，可以安裝 Semgrep：

macOS

brew install semgrep

Linux

python3 -m pip install semgrep

其他平臺

請參閱 Semgrep 安裝指南 以獲取詳細說明。

即使未安裝 Semgrep，MCP 服務器也能正常運行，但在分析目錄時會跳過靜態代碼分析步驟。

mcp-osv 命令將被安裝到 PATH 中，並使用標準輸入輸出方法。配置您的 LLM 使用 mcp-osv 作為代理。

💻 使用示例

基礎用法

服務器提供以下工具：

check_vulnerabilities

檢查依賴項中是否存在已知漏洞，使用 OSV.dev 數據庫。 參數：

• package_name: 要檢查的包名
• version: 要檢查的包版本

analyze_security

基於 https://osv.dev 分析代碼中的潛在安全問題。 參數：

• file_path: 要分析的文件路徑

高級用法

與 AI 模型集成

此服務器設計用於與 Claude 和 Cursor 等 AI 模型通過 MCP 協議連接。AI 模型可以使用提供的工具進行以下操作：

1. 檢查依賴項中的已知漏洞
2. 分析代碼的安全性
3. 提供安全改進的建議

與 Cursor 連接

示例輸出

使用方法

參見 mcp.json-template 以獲取與 Cursor IDE 配合使用的示例。 完成設置後，重新啟動並執行類似的操作：

# 檢查某個包的漏洞
"檢查 'express' 版本 '4.17.1' 包中的漏洞"

# 分析特定文件
"分析 '文件名' 文件的安全性"

與 Claude 連接

提供一個完整的配置文件示例：

{
    "mcp": {
        "servers": [
            {
                "name": "security_analyzer",
                "host": "localhost",
                "port": 5005,
                "secret": "your-secret-token"
            }
        ]
    }
}

調試

在 VSCode 中，使用開發者工具：

# 打開開發者工具
Ctrl+Shift+I 或 Cmd+Shift+I

# 訪問控制檯
F12 或 Cmd+Alt+I

測試安全分析能力的示例 bash 命令：

# 檢查漏洞
$ mcp check_vulnerabilities --package_name=example-package --version=1.0.0

# 分析文件
$ mcp analyze_security --file_path=/path/to/your/file

🔧 技術細節

要添加新的安全分析功能，請按照以下步驟操作：

1. 在 analyzers 文件夾中創建一個新的分析器類。
2. 實現所需的漏洞檢測和修復建議方法。
3. 更新 setup.py 以包含新分析器。

參考 GitHub 鏈接 獲取更多信息。

📄 許可證

本項目採用 MIT 許可證。