io.github.cyanheads/osv-advisory-mcp-server

查询 OSV 漏洞数据库并批量审计依赖清单，快速发现软件包安全风险

来源

官方 Registry

更新于

2026-06-20

// 安全评估需留意

需要密钥· OSV_REQUEST_TIMEOUT_MS, MCP_LOG_LEVEL
连接远程端点· osv-advisory.caseyjhand.com
本机运行进程
官方 / 精选来源
开源可审计
社区验证

总评

该 MCP 工具整体风险偏低：来源在官方 Registry、开源且近期有维护，所需环境变量也不像敏感凭证。需重点留意的是其声明查询 OSV.dev，但实际远程端点为自定义域名，建议在部署前核验数据是否经该中间服务转发。

凭证密钥低风险

材料中仅要求 OSV_REQUEST_TIMEOUT_MS 与 MCP_LOG_LEVEL，这两项属于超时与日志级别配置，未见 API key、token 或其他高敏感凭证要求；凭证滥用面较小。

网络外发需留意

工具声明用于查询 OSV.dev，但实际远程端点为 osv-advisory.caseyjhand.com，说明请求可能先发往第三方中间服务。若用户提交依赖清单或包名，这些内容可能被外发到该域名；建议核验其与声明功能的一致性及隐私处理方式。

代码执行需留意

作为 MCP 工具，系统已标注其会执行代码/起本地进程；这是此类工具的常规能力。材料未显示其申请额外高危系统权限，也未见超出漏洞查询用途的执行面描述。

数据访问低风险

描述仅显示其查询漏洞信息并批量审计依赖列表，未见声明可读取任意本地文件、写入磁盘或访问无关系统资源。基于现有材料，数据访问范围未显示过度授权迹象。

来源供应链需留意

正面因素包括官方 Registry 上架、开源、近一年内有更新，源码原则上可审计；但 README 缺失、许可证未声明、社区采用度很低（0 star），可审计性与成熟度仍需人工复核。

安全建议

部署前检查源码或网络抓包，确认是否仅向声明用途相关的漏洞查询服务发送包名/依赖清单。
在最小权限环境中运行该 MCP 工具，并限制其出站网络仅到必要域名。
若处理私有依赖清单，先确认自定义域名的运营方、隐私政策与日志保留方式。
固定版本并审查依赖清单，避免后续更新引入未审计行为。

审计模型: gpt-5.4 · 2026-06-17

// 安装

复制安装指令，让 AI 自动完成配置 · 推荐新手

请帮我安装 askskill 上的 "io.github.cyanheads/osv-advisory-mcp-server" MCP 服务：
执行：claude mcp add io-github-cyanheads-osv-advisory-mcp-server -- bun -y @cyanheads/osv-advisory-mcp-server

// 文档

该资产暂无文档说明

可前往源码仓库查看用法与示例。

前往源码仓库 ↗

// 功能相似

MCP 工具

Osv

查询开源依赖漏洞并辅助安全修复决策

—装→

MCP 工具

Microsoft GitHub Advisory MCP Server

帮助开发与运维团队查询 GitHub 安全公告并快速获取漏洞详情

—装→

io.github.cyanheads/osv-advisory-mcp-server

// 文档

// 功能相似

Osv

Microsoft GitHub Advisory MCP Server

mcp-package-health

ossec-mcp

Code Audit MCP Server

dep-guard-mcp