MCP提交

MCP Server Semgrep

MCP Server Semgrep是一个符合Model Context Protocol标准的服务器，集成了Semgrep静态分析工具与AI助手，提供代码安全分析、质量改进和漏洞检测功能。项目简化了架构设计，支持多平台运行，可通过多种方式

开发者工具安全 #代码分析 #安全检测 #AI集成 #静态扫描本地 .TypeScript

2.5分

2025-04-28 23:14:13

概述

安装

工具列表

内容详情

替代品

什么是MCP Server Semgrep?

这是一个符合Model Context Protocol标准的服务器，将Semgrep静态代码分析工具与AI助手(如Claude)集成。它允许开发者通过对话界面直接进行高级代码分析、安全漏洞检测和代码质量改进。

如何使用MCP Server Semgrep?

您可以通过Smithery.ai一键安装，或通过npm等包管理器手动安装。安装后，只需向AI助手询问代码相关问题即可自动触发分析。

适用场景

适合开发团队进行代码审查、安全审计、技术债务管理、代码风格统一以及开发者教育等场景。

主要功能

目录扫描扫描整个源代码目录，识别潜在问题和安全漏洞

规则列表查看Semgrep支持的所有分析规则和语言

结果分析对扫描结果进行详细解释和建议修复方案

自定义规则创建针对项目特定需求的自定义分析规则

优势与局限性

优势

全项目范围的代码分析而不仅是单个文件

在问题变成严重错误前主动识别

通过定期扫描逐步提高代码质量

保持代码风格一致性

自动检测常见安全漏洞

局限性

需要安装Semgrep作为依赖

对某些边缘情况的代码模式检测可能不准确

首次配置可能需要技术知识

如何使用

安装通过Smithery.ai一键安装(推荐)或使用npm/pnpm/yarn手动安装

配置确保已安装Semgrep(会自动检测并提供安装指引)

集成在Claude Desktop等MCP客户端中添加服务器配置

使用直接向AI助手询问代码相关问题即可触发分析

使用案例

安全漏洞扫描检查项目中可能存在的SQL注入等安全漏洞

代码风格检查识别代码中的风格不一致问题

技术债务识别发现项目中的技术债务和潜在问题区域

常见问题

我需要编程经验才能使用吗?基本使用不需要编程经验，但创建自定义规则需要了解YAML语法

支持哪些编程语言?支持Semgrep兼容的所有语言，包括JavaScript、Python、Java等主流语言

分析会修改我的代码吗?不会，它只提供分析结果和建议，不会自动修改代码

如何安装Semgrep?可通过npm/pip/homebrew等多种方式安装，服务器会检测并提供指引

相关资源

Smithery.ai安装页面推荐的一键安装方式

GitHub仓库项目源代码和详细文档

Semgrep官方文档Semgrep工具的使用文档

MCP协议官网Model Context Protocol的官方说明

精选MCP服务推荐

Firecrawl MCP Server

Firecrawl MCP Server是一个集成Firecrawl网页抓取能力的模型上下文协议服务器，提供丰富的网页抓取、搜索和内容提取功能。

TypeScript

2,959

5分

Duckduckgo MCP Server

已认证

DuckDuckGo搜索MCP服务器，为Claude等LLM提供网页搜索和内容抓取服务

Framelink Figma MCP Server是一个为AI编程工具（如Cursor）提供Figma设计数据访问的服务器，通过简化Figma API响应，帮助AI更准确地实现设计到代码的一键转换。

百度地图MCP Server是国内首个兼容MCP协议的地图服务，提供地理编码、路线规划等10个标准化API接口，支持Python和Typescript快速接入，赋能智能体实现地图相关功能。

MiniMax Model Context Protocol (MCP) 是一个官方服务器，支持与强大的文本转语音、视频/图像生成API交互，适用于多种客户端工具如Claude Desktop、Cursor等。

Context7 MCP是一个为AI编程助手提供实时、版本特定文档和代码示例的服务，通过Model Context Protocol直接集成到提示中，解决LLM使用过时信息的问题。

Exa MCP Server是一个为AI助手（如Claude）提供网络搜索功能的服务器，通过Exa AI搜索API实现实时、安全的网络信息获取。

TypeScript

1,433

5分

Edgeone Pages MCP Server

EdgeOne Pages MCP是一个通过MCP协议快速部署HTML内容到EdgeOne Pages并获取公开URL的服务

TypeScript

4.8分

MCP 服务器 Semgrep 静态代码分析工具

安装指南

安装 Semgrep 工具

您可以通过多种方式安装 Semgrep：

Node.js 方式:
```
npm install -g semgrep
```
Python 方式:
```
pip install semgrep
```
Homebrew（macOS）:
```
brew install semgrep
```

Linux 系统:

sudo apt-get install semgrep
# 或者
curl -sSL https://install.semgrep.dev | sh

Windows 系统:
```
pip install semgrep
```

配置环境变量

安装完成后，请将 Semgrep 工具的路径添加到您的系统环境变量中，以便后续使用。

使用示例

项目扫描

Could you scan my source code in the /projects/my-application directory for potential security issues?

样式一致性分析

Analyze the z-index values in the project's CSS files and identify inconsistencies and potential layer conflicts.

创建自定义规则

Create a Semgrep rule that detects improper use of input sanitization functions.

过滤结果

Show me only scan results related to SQL injection vulnerabilities.

识别问题模式

Find all "magic numbers" in the code and suggest replacing them with named constants.

创建自定义规则示例

检测 z-index 不一致的规则

rules:
  - id: inconsistent-z-index
    pattern: z-index: $Z
    message: "Z-index $Z 可能与项目分层系统不兼容"
    languages: [css, scss]
    severity: WARNING

检测已弃用导入的规则

rules:
  - id: deprecated-import
    pattern: import $X from 'old-library'
    message: "正在使用一个已弃用的库。建议使用 'new-library'"
    languages: [javascript, typescript]
    severity: WARNING

项目结构

├── src/
│   ├── config.ts         # 服务器配置文件
│   └── index.ts          # 程序入口和所有处理程序实现
├── scripts/
│   └── check-semgrep.js  # Semgrep 检测和安装辅助工具
├── build/                # 编译后的 JavaScript 文件（构建后生成）
└── tests/                # 单元测试文件