io.github.Armigerous/dependency-freshness-mcp

帮助检查 npm 与 PyPI 依赖新鲜度、弃用状态及破坏性变更。

来源

官方 Registry

更新于

2026-06-09

// 安全评估需留意

连接远程端点· peppy-weekend--dependency-freshness-mcp.apify.actor
本机运行进程
官方 / 精选来源
社区验证

总评

该 MCP 工具功能描述较窄，未要求密钥，且来自官方 Registry、近期有更新，整体未见明确高风险红旗。主要注意点在于其会执行代码并连接声明的远程 Apify 端点，而源码不可审计使供应链透明度有限。

凭证密钥低风险

材料明确标注无需密钥或环境变量，未见要求提供 API token、账号凭证或其他敏感认证信息，因此凭证泄露与滥用面较小。

网络外发需留意

工具会访问声明的远程端点 peppy-weekend--dependency-freshness-mcp.apify.actor，用于查询 npm/PyPI 新鲜度信息。该类联网属于其声明功能的常规能力，但用户查询内容可能被发送至该第三方服务，需留意外发数据范围。

代码执行需留意

系统检查项显示该工具具备 executes-code 能力，说明会在本机环境中启动进程或执行代码。对于 MCP 工具这属于常见能力；当前材料未显示其申请明显超出用途的系统权限，但仍应在受限环境运行。

数据访问低风险

材料未声明需要读写本地文件、访问数据库、浏览器、剪贴板或其他敏感资源；其描述聚焦于依赖版本与变更信息查询。基于现有信息，未见明显过度数据访问范围。

来源供应链需留意

正面因素是其来自官方 Registry，且近一年内有更新；但未提供开源仓库与许可证，源码不可审计，社区采用度也很低（0 star）。综合看供应链透明度不足，建议按中等谨慎对待而非直接判为高风险。

安全建议

仅向该工具发送查询依赖所必需的最小信息，避免附带内部项目代码、私有包名或敏感上下文。
将其运行在受限环境中，限制不必要的文件系统权限与网络可达范围。
优先核验该 Apify 端点的运营方、隐私政策与日志保留策略。
若后续提供源码或更完整文档，重新审查其实际数据流与执行行为。

审计模型: gpt-5.4 · 2026-06-18

// 安装

复制安装指令，让 AI 自动完成配置 · 推荐新手

请帮我安装 askskill 上的 "io.github.Armigerous/dependency-freshness-mcp" MCP 服务：
执行：claude mcp add --transport http io-github-armigerous-dependency-freshness-mcp https://peppy-weekend--dependency-freshness-mcp.apify.actor/mcp

// 文档

该资产暂无文档说明

可前往源码仓库查看用法与示例。

前往源码仓库 ↗

// 功能相似

MCP 工具

Dependency Freshness MCP Server

帮助检查 npm 与 PyPI 依赖是否过时、弃用及存在破坏性变更。

—装→

MCP 工具

package-version-check-mcp

帮助开发者查询多生态依赖的最新稳定版本，避免生成过时代码配置

—装→

io.github.Armigerous/dependency-freshness-mcp

// 文档

// 功能相似

Dependency Freshness MCP Server

package-version-check-mcp

mcpypi

mcp-npm-tools

io.github.TweedBeetle/dependency-fitness-mcp

io.github.YawLabs/npmjs-mcp