MCP Server Semgrep

MCP Server Semgrep是一个符合Model Context Protocol标准的服务器，集成了Semgrep静态分析工具与AI助手，提供代码安全分析、质量改进和漏洞检测功能。项目简化了架构设计，支持多平台运行，可通过多种方式安装，并提供了丰富的代码分析功能。

开发者工具安全 #代码分析 #安全检测 #AI集成 #静态扫描本地 .TypeScript

评分 : 2.5分

下载量 : 31

更新时间 : 2025-04-28

什么是MCP Server Semgrep?

这是一个符合Model Context Protocol标准的服务器，将Semgrep静态代码分析工具与AI助手(如Claude)集成。它允许开发者通过对话界面直接进行高级代码分析、安全漏洞检测和代码质量改进。

如何使用MCP Server Semgrep?

您可以通过Smithery.ai一键安装，或通过npm等包管理器手动安装。安装后，只需向AI助手询问代码相关问题即可自动触发分析。

适用场景

适合开发团队进行代码审查、安全审计、技术债务管理、代码风格统一以及开发者教育等场景。

主要功能

目录扫描扫描整个源代码目录，识别潜在问题和安全漏洞

规则列表查看Semgrep支持的所有分析规则和语言

结果分析对扫描结果进行详细解释和建议修复方案

自定义规则创建针对项目特定需求的自定义分析规则

优势与局限性

优势

全项目范围的代码分析而不仅是单个文件

在问题变成严重错误前主动识别

通过定期扫描逐步提高代码质量

保持代码风格一致性

自动检测常见安全漏洞

局限性

需要安装Semgrep作为依赖

对某些边缘情况的代码模式检测可能不准确

首次配置可能需要技术知识

如何使用

安装

通过Smithery.ai一键安装(推荐)或使用npm/pnpm/yarn手动安装

配置

确保已安装Semgrep(会自动检测并提供安装指引)

集成

在Claude Desktop等MCP客户端中添加服务器配置

使用

直接向AI助手询问代码相关问题即可触发分析

使用案例

安全漏洞扫描检查项目中可能存在的SQL注入等安全漏洞

代码风格检查识别代码中的风格不一致问题

技术债务识别发现项目中的技术债务和潜在问题区域

常见问题

我需要编程经验才能使用吗?

支持哪些编程语言?

分析会修改我的代码吗?

如何安装Semgrep?

🚀 MCP 服务器 Semgrep 静态代码分析工具

MCP 服务器 Semgrep 静态代码分析工具可帮助开发者高效地对代码进行静态分析，检测潜在的安全问题、样式不一致等问题，还支持自定义规则，提升代码质量。

🚀 快速开始

要使用 MCP 服务器 Semgrep 静态代码分析工具，您首先需要安装 Semgrep 工具并配置环境变量。

📦 安装指南

安装 Semgrep 工具

您可以通过多种方式安装 Semgrep：

Node.js 方式：

npm install -g semgrep

Python 方式：

pip install semgrep

Homebrew（macOS）：

brew install semgrep

Linux 系统：

sudo apt-get install semgrep
# 或者
curl -sSL https://install.semgrep.dev | sh

Windows 系统：

pip install semgrep

配置环境变量

安装完成后，请将 Semgrep 工具的路径添加到您的系统环境变量中，以便后续使用。

💻 使用示例

基础用法

项目扫描

Could you scan my source code in the /projects/my-application directory for potential security issues?

样式一致性分析

Analyze the z-index values in the project's CSS files and identify inconsistencies and potential layer conflicts.

创建自定义规则

Create a Semgrep rule that detects improper use of input sanitization functions.

过滤结果

Show me only scan results related to SQL injection vulnerabilities.

识别问题模式

Find all "magic numbers" in the code and suggest replacing them with named constants.

高级用法

创建自定义规则示例

检测 z-index 不一致的规则

rules:
  - id: inconsistent-z-index
    pattern: z-index: $Z
    message: "Z-index $Z 可能与项目分层系统不兼容"
    languages: [css, scss]
    severity: WARNING

检测已弃用导入的规则

rules:
  - id: deprecated-import
    pattern: import $X from 'old-library'
    message: "正在使用一个已弃用的库。建议使用 'new-library'"
    languages: [javascript, typescript]
    severity: WARNING

📚 详细文档

项目结构

├── src/
│   ├── config.ts         # 服务器配置文件
│   └── index.ts          # 程序入口和所有处理程序实现
├── scripts/
│   └── check-semgrep.js  # Semgrep 检测和安装辅助工具
├── build/                # 编译后的 JavaScript 文件（构建后生成）
└── tests/                # 单元测试文件