socket - mcp - 依赖项安全扫描MCP服务器，支持AI助手集成及多方式部署

探索

Socket MCP

Socket MCP服务器是一个用于依赖项安全扫描的模型上下文协议服务，提供npm、PyPI等软件包生态系统的安全评分和漏洞检测功能，支持AI助手集成和多种部署方式。

安全开发者工具 #依赖安全 #漏洞检测 #AI集成 #多生态支持 .TypeScript

评分 : 2.5分

下载量 : 0

更新时间 : 2025-09-09

打开站点

什么是Socket MCP Server?

Socket MCP Server是一个专门为AI助手设计的依赖项安全扫描服务。它通过Model Context Protocol协议，让您的AI助手(如Claude、VS Code Copilot等)能够实时查询和分析软件依赖包的安全评分、漏洞信息和质量指标。

如何使用Socket MCP Server?

使用非常简单：选择公共服务器无需任何设置，或者本地部署使用自己的API密钥。配置完成后，只需向AI助手提问即可获取依赖包的安全评分。

适用场景

适合开发者在编写代码时实时检查依赖安全性、项目初始化时评估第三方库风险、以及代码审查过程中验证依赖包的安全状况。

主要功能

依赖安全扫描

提供npm、PyPI等多种包生态系统的全面安全评分，包括供应链、质量、维护、漏洞和许可证等多个维度的评估。

公共托管服务

无需设置即可使用的公共服务，无需API密钥或注册，开箱即用。

多种部署选项

支持通过stdio、HTTP或使用公共服务三种方式运行，满足不同使用场景需求。

AI助手集成

与Claude、VS Code Copilot、Cursor等主流AI助手无缝集成，提供自然语言交互体验。

批量处理

支持单次请求检查多个依赖项，提高效率。

优势

无需认证：公共服务器完全免费且无需API密钥

易于使用：一键安装配置，支持多种AI助手平台

全面覆盖：支持多个包生态系统和安全维度评估

实时反馈：即时获取依赖项的安全评分和风险信息

局限性

早期开发：项目处于早期阶段，功能可能还在不断完善中

网络依赖：需要稳定的网络连接来访问Socket API服务

生态系统限制：主要支持主流包管理器，某些小众生态可能覆盖不全

如何使用

选择部署方式

根据需求选择使用公共服务器或本地部署。推荐新手使用公共服务器。

配置AI助手

在您使用的AI助手平台中添加Socket MCP服务器配置。

开始使用

重启AI助手后，即可通过自然语言查询依赖项安全信息。

使用案例

新项目依赖评估

在创建新项目时，通过AI助手实时评估拟使用依赖包的安全性，避免引入高风险依赖。

现有项目安全审计

对现有项目的package.json或requirements.txt中的依赖进行批量安全审查。

依赖升级决策

在考虑升级依赖版本时，比较不同版本的安全性差异。

常见问题

公共服务器不响应怎么办？

本地服务器启动失败怎么办？

AI助手找不到depscore工具怎么办？

是否需要付费使用？

🚀 Socket MCP Server

Socket MCP Server 是一个用于 Socket 集成的模型上下文协议（MCP）服务器，可让 AI 助手高效地检查依赖项的漏洞评分和安全信息。

✨ 主要特性

🔍 依赖项安全扫描：获取 npm、PyPI 等其他包生态系统的全面安全评分。
🌐 公共托管服务：使用我们的公共服务器 https://mcp.socket.dev/，无需任何设置。
🚀 多种部署选项：可以通过标准输入输出、HTTP 进行本地运行，也可以使用我们的服务。
🤖 AI 助手集成：可与 Claude、VS Code Copilot、Cursor 等其他 MCP 客户端无缝协作。
📊 批量处理：在单个请求中检查多个依赖项。
🔒 无需身份验证：公共服务器无需 API 密钥或注册。

🛠️ 此项目处于早期开发阶段，正在快速发展。

🚀 快速开始

选项 1：使用公共 Socket MCP 服务器（推荐）

最简单的开始方式是使用我们的公共 Socket MCP 服务器。无需 API 密钥或身份验证！ 点击下面的按钮，在你喜欢的 AI 助手中安装公共服务器。

手动安装说明及更多 MCP 客户端

在 Claude Desktop 或 Claude Code 中安装

⚠️ 重要提示

并非所有付费版本的 Claude 都支持自定义集成。请查看此处以获取更多信息。

要在 Claude Desktop 中使用公共 Socket MCP 服务器：

在 Claude Desktop 中，转到“设置”>“开发者”>“编辑配置”。
添加 Socket MCP 服务器配置：

{
  "mcpServers": {
    "socket-mcp": {
      "type": "http",
      "url": "https://mcp.socket.dev/"
    }
  }
}

保存配置并重启 Claude Desktop。
现在你可以向 Claude 询问诸如“检查 express 4.18.2 版本的安全评分”之类的问题。

Claude Code 的过程类似。有关更多详细信息，请参阅 Claude Code 文档。以下是添加 Socket MCP 服务器的示例命令：

claude mcp add --transport http socket-mcp https://mcp.socket.dev/

在 VS Code 中安装

你可以使用 VS Code CLI 安装 Socket MCP 服务器： ```bash # 对于带有 GitHub Copilot 的 VS Code code --add-mcp '{"name":"socket-mcp","type":"http","url":"https://mcp.socket.dev/}' ``` 安装后，Socket MCP 服务器将可在 VS Code 中与你的 GitHub Copilot 代理一起使用。

或者，你可以手动将其添加到 .vscode/mcp.json 中的 VS Code MCP 配置中：

{
  "servers": {
    "socket-mcp": {
      "type": "http",
      "url": "https://mcp.socket.dev/"
    }
  }
}

在 Cursor 中安装

转到 `Cursor 设置` -> `MCP` -> `添加新的 MCP 服务器`。将其命名为“socket-mcp”，使用 `http` 类型，URL 为 `https://mcp.socket.dev/`。 ```json { "mcpServers": { "socket-mcp": { "type": "http", "url": "https://mcp.socket.dev/" } } } ```

在 Windsurf 中安装

⚠️ 重要提示

Windsurf 目前不支持 http 类型的 MCP 服务器。请使用下面的标准输入输出模式配置。

要在 Windsurf 中使用 Socket MCP 服务器：

打开 Windsurf 设置。
导航到 MCP 服务器部分。
添加一个新服务器，配置如下：

{
    "mcpServers": {
        "socket-mcp": {
            "serverUrl": "https://mcp.socket.dev/mcp"
        }
    }
}

保存配置，如有必要，重启 Windsurf。

选项 2：在本地机器上部署 Socket MCP 服务器

如果你想运行自己的实例，可以使用标准输入输出或 HTTP 模式在本地部署 Socket MCP 服务器。

获取 API 密钥

要使用本地 Socket MCP 服务器，你需要创建一个 API 密钥。你可以按照这些步骤进行操作。唯一需要的权限范围是 packages:list，它允许 MCP 服务器查询包元数据以获取依赖项评分。

对于本地部署，你有两个选项：

选项 2a：标准输入输出模式（默认）

点击下面的按钮，在你喜欢的 AI 助手中安装自托管的标准输入输出服务器。

Claude Code（标准输入输出模式）可以使用以下命令进行设置：

claude mcp add socket-mcp -e SOCKET_API_KEY="your-api-key-here" -- npx -y @socketsecurity/mcp@latest

这是大多数 MCP 客户端的配置示例：

{
  "mcpServers": {
    "socket-mcp": {
      "command": "npx",
      "args": ["@socketsecurity/mcp@latest"],
      "env": {
        "SOCKET_API_KEY": "your-api-key-here"
      }
    }
  }
}

这种方法会自动使用最新版本，无需全局安装。

选项 2b：HTTP 模式

使用 npx 在 HTTP 模式下运行服务器：

MCP_HTTP_MODE=true SOCKET_API_KEY=your-api-key npx @socketsecurity/mcp@latest --http

配置你的 MCP 客户端以连接到 HTTP 服务器：

{
  "mcpServers": {
    "socket-mcp": {
      "type": "http",
      "url": "http://localhost:3000"
    }
  }
}

💻 使用示例

基础用法

Socket MCP 服务器暴露了 depscore 工具，以下是使用该工具的示例：

{
  "packages": [
    {
      "ecosystem": "npm",
      "depname": "express",
      "version": "4.18.2"
    },
    {
      "ecosystem": "pypi",
      "depname": "fastapi",
      "version": "0.100.0"
    }
  ]
}

示例响应：

pkg:npm/express@4.18.2: supply_chain: 1.0, quality: 0.9, maintenance: 1.0, vulnerability: 1.0, license: 1.0
pkg:pypi/fastapi@0.100.0: supply_chain: 1.0, quality: 0.95, maintenance: 0.98, vulnerability: 1.0, license: 1.0

高级用法

如何使用 Socket MCP 服务器

向你的 AI 助手询问 以检查依赖项：
- “检查 express 4.18.2 版本的安全评分”
- “分析我的 package.json 依赖项的安全性”
- “react、lodash 和 axios 的漏洞评分是多少？”
获取全面的安全洞察，包括供应链、质量、维护、漏洞和许可证评分。

使用自定义规则调整工具使用方式

你可以通过修改客户端规则来进一步自定义 Socket MCP 服务器与 AI 助手的交互方式。规则通常是一个 Markdown 文件，其位置取决于你使用的 AI 助手。

MCP 客户端	规则文件位置
Claude Desktop/Code	`CLAUDE.md`
VSCode Copilot	`.github/copilot-instructions.md`
Cursor	`.cursor/rules`

可以添加到客户端规则文件的规则示例如下：

Always check dependency scores with the depscore tool when you add a new dependency. If the score is low, consider using an alternative library or writing the code yourself. If you are unsure about the score, ask for a review from someone with more experience. When checking dependencies, make sure to also check the imports not just the pyproject.toml/package.json/dependency file.

你可以根据需要调整规则。例如，你可以添加规则以包含特定的清单文件，或指导 AI 助手如何处理低分情况。规则是灵活的，可以根据你的工作流程进行定制。

🔧 技术细节

开发

普通用户

对于大多数用户，我们建议使用以下两种方式之一：

公共服务器：https://mcp.socket.dev/（无需设置）
NPX 命令：npx @socketsecurity/mcp@latest（始终使用最新版本）

贡献者

如果你想为 Socket MCP 服务器的开发做出贡献：

健康检查端点

在 HTTP 模式下运行时，服务器为 Kubernetes 和 Docker 部署提供了一个健康检查端点：

GET /health

响应：

{
  "status": "healthy",
  "service": "socket-mcp",
  "version": "0.0.3",
  "timestamp": "2025-06-17T20:45:22.059Z"
}

此端点可用于：

Kubernetes 活性和就绪性探测
Docker 健康检查
负载均衡器健康监测
一般服务监测

前提条件

Node.js v16 或更高版本
npm 或 yarn

安装

克隆仓库并安装依赖项：

git clone https://github.com/SocketDev/socket-mcp.git
cd socket-mcp
npm install

构建

此项目是一个可直接运行的 Node.js 项目，使用类型剥离。如果你使用的是 Node.js 22，使用 node --experimental-strip-types index.ts 运行。在任何更高版本的 Node.js 中，你可以直接运行 node index.ts。在任何版本中，你也可以运行包含正确标志的 npm 运行脚本。

运行 npm publish 时会自动构建 js 文件，并在之后使用 npm run clean 清理。

如果你想预览构建，可以运行：

npm run build

从源代码运行

要从源代码运行 Socket MCP 服务器：

export SOCKET_API_KEY=your_api_key_here
node --experimental-strip-types index.ts

或者在 HTTP 模式下运行：

MCP_HTTP_MODE=true SOCKET_API_KEY=your_api_key_here node --experimental-strip-types index.ts --http

🔧 故障排除

常见问题

问题：公共服务器无响应

检查你使用的 URL 是否正确：https://mcp.socket.dev/
验证你的 MCP 客户端配置是否正确
尝试重启你的 MCP 客户端

问题：本地服务器无法启动

确保你已安装 Node.js v16 或更高版本
检查你的 SOCKET_API_KEY 环境变量是否已设置
验证 API 密钥是否具有 packages:list 权限

问题：本地服务器出现身份验证错误

仔细检查你的 Socket API 密钥是否有效
确保密钥具有所需的 packages:list 范围
尝试从 Socket 仪表板重新生成你的 API 密钥

问题：AI 助手找不到 depscore 工具

在更改配置后重启你的 MCP 客户端
验证服务器配置是否已正确保存
检查 MCP 服务器是否正在运行（对于本地部署）

获取帮助

📄 许可证

本项目采用 MIT 许可证。

Duckduckgo MCP Server

已认证

DuckDuckGo搜索MCP服务器，为Claude等LLM提供网页搜索和内容抓取服务

Framelink Figma MCP Server是一个为AI编程工具（如Cursor）提供Figma设计数据访问的服务器，通过简化Figma API响应，帮助AI更准确地实现设计到代码的一键转换。

Firecrawl MCP Server是一个集成Firecrawl网页抓取能力的模型上下文协议服务器，提供丰富的网页抓取、搜索和内容提取功能。

MiniMax Model Context Protocol (MCP) 是一个官方服务器，支持与强大的文本转语音、视频/图像生成API交互，适用于多种客户端工具如Claude Desktop、Cursor等。

Exa MCP Server是一个为AI助手（如Claude）提供网络搜索功能的服务器，通过Exa AI搜索API实现实时、安全的网络信息获取。

百度地图MCP Server是国内首个兼容MCP协议的地图服务，提供地理编码、路线规划等10个标准化API接口，支持Python和Typescript快速接入，赋能智能体实现地图相关功能。

Python

39.0K

4.5分

Edgeone Pages MCP Server

EdgeOne Pages MCP是一个通过MCP协议快速部署HTML内容到EdgeOne Pages并获取公开URL的服务

Context7 MCP是一个为AI编程助手提供实时、版本特定文档和代码示例的服务，通过Model Context Protocol直接集成到提示中，解决LLM使用过时信息的问题。

智启未来，您的人工智能解决方案智库

Socket MCP

概述

安装

内容详情

替代品

什么是Socket MCP Server?

如何使用Socket MCP Server?

适用场景

主要功能

如何使用

使用案例

常见问题

相关资源

安装

🚀 Socket MCP Server

✨ 主要特性

🚀 快速开始

选项 1：使用公共 Socket MCP 服务器（推荐）

选项 2：在本地机器上部署 Socket MCP 服务器

获取 API 密钥

选项 2a：标准输入输出模式（默认）

选项 2b：HTTP 模式

💻 使用示例

基础用法

高级用法

如何使用 Socket MCP 服务器

使用自定义规则调整工具使用方式

🔧 技术细节

开发

普通用户

贡献者

健康检查端点

前提条件

安装

构建

从源代码运行

🔧 故障排除

常见问题

获取帮助

📄 许可证

替代品