$ loading_
基于 Black Duck Signal 扫描代码并发现漏洞风险
该工具来自官方 Registry,且有可审计的开源仓库,整体来源可信。基于现有材料,未见密钥要求或明确外发端点;主要风险面在于其作为安全扫描器通常需要本地执行并读取项目内容,宜按最小权限使用。
材料明确写明“需要的密钥/环境变量:无”,未见要求配置 API key、token 或其他敏感凭证;从已提供信息看,凭证泄露与滥用面较低。
材料列出“远程端点 host:无”,README 也未提供任何外发目标;尽管描述提到 Black Duck Signal 扫描能力,但基于现有事实未见明确将用户数据发送到外部服务的证据。
系统客观检查项标记为“executes-code”,说明该 MCP 工具具备本机执行代码/进程的能力。这属于此类工具的常规能力,但仍意味着应关注其可调用的本地系统能力与运行权限边界。
作为漏洞检测/安全扫描工具,其实现通常需要读取本地项目、依赖或构建相关内容进行分析。现有材料未声明写入范围或过度授权,但建议默认按可读取工作区数据处理,并限制访问到必要目录。
来源为官方 Registry,且提供可审计的开源仓库,并在近一年内有更新,这些都是显著的降风险因素。需留意的是仓库社区星标较低且许可证未声明,供应链透明度仍有改进空间,但未见足以升为高风险的具体红旗。
复制安装指令,让 AI 自动完成配置 · 推荐新手
请帮我安装 askskill 上的 "Black Duck Security Scanner" MCP 服务: 执行:claude mcp add com-blackduck-mcp-server -- npx -y @black-duck/mcp-server
请使用 Black Duck Security Scanner 扫描当前项目,列出发现的漏洞、严重等级、受影响组件和修复建议。
返回漏洞清单、风险等级、受影响依赖和修复建议。
根据扫描结果,帮我按严重程度和可利用性排序,输出最优先处理的漏洞及原因。
输出按优先级排序的漏洞修复清单及排序依据。
在发布前,请对构建产物做一次安全扫描,并总结是否存在阻断发布的高危漏洞。
给出是否可发布的结论和阻断级风险摘要。
帮助用户扫描网址中的 SQL 注入漏洞并生成安全检测结果。