Security scanning for npm dependencies using OSV.dev and Socket.dev databases.
Dependency Checker MCP Server
Ce serveur MCP (Model Context Protocol) fournit des outils pour vérifier la sécurité des dépendances npm en utilisant des bases de données de vulnérabilités reconnues : OSV.dev et Socket.dev.
🚀 Installation & Utilisation
Ce serveur peut être utilisé directement via npx sans installation préalable, ou installé globalement.
Configuration pour les clients MCP
Claude Desktop / Gemini CLI
Ajoutez la configuration suivante à votre fichier de configuration MCP (généralement claude_desktop_config.json ou similaire) :
{
"mcpServers": {
"dependency-checker": {
"command": "npx",
"args": ["-y", "@djodjonx/dependency-checker-mcp@latest"]
}
}
}
Note importante : L'ajout de @latest garantit que npx télécharge et exécute toujours la dernière version stable du serveur. Sans cela, npx pourrait utiliser une version en cache ou obsolète.
Si vous travaillez en local sur le projet :
{
"mcpServers": {
"dependency-checker-local": {
"command": "node",
"args": ["/chemin/vers/dependency-checker-mcp/dist/index.mjs"]
}
}
}
🛠 Outils disponibles
`scan_file`
Analyse un fichier de manifeste (package.json, lockfiles) pour détecter les vulnérabilités.
- Entrée :
file_path(chemin absolu du fichier). - Supporte :
package.json,package-lock.json,yarn.lock,pnpm-lock.yaml.
`check_vulnerabilities`
Vérifie une liste spécifique de dépendances. Utile pour les agents qui extraient des dépendances d'autres sources.
- Entrée : Liste d'objets
{ name, version }.
`get_vulnerability_details`
Récupère les détails techniques complets d'une vulnérabilité via son ID (CVE, GHSA, etc.).
- Entrée :
vuln_id.
🤝 Contribuer
Les contributions sont les bienvenues ! Voici comment configurer votre environnement de développement.
Prérequis
- Node.js (v20+)
- npm
Installation
git clone https://github.com/djodjonx/dependency-checker-mcp.git
cd dependency-checker-mcp
npm install
Développement
- Build :
npm run build(génère les fichiers dansdist/) - Dev (Watch) :
npm run dev(recompile à chaque changement) - Tests :
npm test(lance Vitest) - Linting :
npm run lint(vérifie le code avec oxlint)
Workflow de Commit
Ce projet utilise Conventional Commits pour générer automatiquement le changelog et gérer les versions.
Au lieu d'utiliser git commit, utilisez la commande suivante pour être guidé :
npm run commit
Cela lancera un assistant interactif pour formater votre message de commit correctement (feat, fix, docs, etc.).
Release (Mainteneurs)
Consultez le fichier RELEASE.md pour la procédure détaillée de publication.
📄 Licence
Ce projet est sous licence MIT.
Tools (3)
scan_fileAnalyzes a manifest file like package.json or lockfiles to detect vulnerabilities.check_vulnerabilitiesChecks a specific list of dependencies for known security issues.get_vulnerability_detailsRetrieves detailed technical information for a specific vulnerability ID.Configuration
{"mcpServers": {"dependency-checker": {"command": "npx", "args": ["-y", "@djodjonx/dependency-checker-mcp@latest"]}}}