yamory MCP Server (Unofficial)

Note: This is an unofficial community-driven project and is not affiliated with or endorsed by yamory or Assured, Inc.

日本語版はこちら / Japanese version is available at the bottom of this page.

Model Context Protocol (MCP) server for yamory vulnerability management cloud. Connects AI agents to yamory as a knowledge base — providing what's detected, how dangerous it is, and how to fix it.

Quick Setup

1. Get Your API Token

1. Log in to yamory
2. Navigate to Team Settings > API Tokens
3. Click Issue Token with the usage scope set to API Server
4. Set the token as an environment variable:

export YAMORY_API_TOKEN="your-token-here"
# export YAMORY_TEAM_NAME="your-team"     # Optional: filter by team name

Tip: Add this to your shell profile (~/.zshrc, ~/.bashrc, etc.) so it persists across sessions.

2. Add to Your MCP Client

Claude Code

claude mcp add yamory \
  --env YAMORY_API_TOKEN=$YAMORY_API_TOKEN \
  -- npx @aranseshita/yamory-mcp-server@latest

Claude Desktop — Add to claude_desktop_config.json:

{
  "mcpServers": {
    "yamory": {
      "command": "npx",
      "args": ["@aranseshita/yamory-mcp-server@latest"],
      "env": {
        "YAMORY_API_TOKEN": "<YOUR_TOKEN>"
      }
    }
  }
}

Cursor — Add to .cursor/mcp.json:

{
  "mcpServers": {
    "yamory": {
      "command": "npx",
      "args": ["@aranseshita/yamory-mcp-server@latest"],
      "env": { "YAMORY_API_TOKEN": "<YOUR_TOKEN>" }
    }
  }
}

VS Code (GitHub Copilot) — Add to .vscode/mcp.json:

{
  "servers": {
    "yamory": {
      "command": "npx",
      "args": ["@aranseshita/yamory-mcp-server@latest"],
      "env": { "YAMORY_API_TOKEN": "<YOUR_TOKEN>" }
    }
  }
}

Docker — Replace npx command with:

{
  "mcpServers": {
    "yamory": {
      "command": "docker",
      "args": ["run", "-i", "--rm", "-e", "YAMORY_API_TOKEN", "ghcr.io/aranseshita/yamory-mcp-server"],
      "env": { "YAMORY_API_TOKEN": "<YOUR_TOKEN>" }
    }
  }
}

Team sharing (Claude Code) — Add .mcp.json to your project root. Each member sets YAMORY_API_TOKEN in their own environment:

{
  "mcpServers": {
    "yamory": {
      "command": "npx",
      "args": ["@aranseshita/yamory-mcp-server@latest"],
      "env": { "YAMORY_API_TOKEN": "${YAMORY_API_TOKEN}" }
    }
  }
}

What Can I Ask?

Vulnerability Check & Remediation

Ask about your team's current vulnerabilities and get actionable remediation guidance. Combine with coding agents for automated fixes.

"Show me all open vulnerabilities"
"What immediate-priority issues do we have?"
"How do I fix the log4j vulnerability?"
"Update the affected packages and create a PR"

CVE Impact Analysis

When a new CVE is disclosed, instantly check if your projects are affected.

"Is CVE-2024-XXXXX affecting any of our projects?"
"List all projects using the vulnerable package"
"Summarize the impact and remediation steps"

Reporting & Triage

Generate summaries for standups, audits, or security reviews.

"Summarize this month's vulnerability status"
"Any projects with unresolved immediate-priority issues?"
"Show RCE vulnerabilities that are in the CISA KEV catalog"
"How many new vulnerabilities were detected this month?"

Tools

This server provides five tools. MCP clients automatically discover all parameters — the key filters are listed below.

search_vulns (recommended default)

Search app library and container image vulnerabilities in a single call. Results are grouped by source type (app / container).

search_app_vulns

Search app library (npm, Maven, pip, etc.) vulnerabilities.

search_container_vulns

Search container image vulnerabilities.

search_host_vulns

Search host (OS-level) vulnerabilities.

search_asset_vulns

Search IT asset (network devices, appliances, etc.) vulnerabilities.

Common filters (all tools):

| Filter | Example | Description | |--------|---------|-------------| | keyword | log4j, CVE-2024-1234 | Match project name, package name, or CVE-ID | | triageLevel | immediate,delayed | Triage priority | | status | open | Vulnerability status | | vulnType | RCE, XSS, SQLI | Vulnerability category | | cvssScore | 9.0 | Minimum CVSS score | | includeKev | true | CISA Known Exploited Vulnerabilities only | | includePoc | true | Only vulnerabilities with public PoC | | openTimestamp | 2024-01-01 | Detected after this date |

You don't need to remember these — just describe what you're looking for in natural language, and the AI agent will select the right filters.

Configuration

Environment Variables

| Variable | Required | Description | |----------|----------|-------------| | YAMORY_API_TOKEN | Yes | API token from yamory team settings | | YAMORY_TEAM_NAME | No | Filter by team name. Set * for organization-wide access (security team tokens only) |

Scope Filter

yamory API tokens are scoped per team. YAMORY_TEAM_NAME adds an optional additional filter:

| Scenario | Token | YAMORY_TEAM_NAME | Result | |----------|-------|--------------------|--------| | Developer | Team token | (unset) | Own team's data only | | Security lead, one team | Security token | Dev Team | Filtered to specified team | | Security lead, org-wide | Security token | * | All teams visible |

Security

• Never commit tokens to version control
• Use environment variables or .mcp.json with ${YAMORY_API_TOKEN} syntax
• Restrict scope with YAMORY_TEAM_NAME when possible
• Rotate tokens periodically from yamory team settings

Development

npm install
npm run build
npm test

Debug with MCP Inspector:

npx @modelcontextprotocol/inspector node dist/index.js

Roadmap

v1 (Current)

• [x] App library vulnerability search
• [x] Container image vulnerability search
• [x] Host vulnerability search
• [x] IT asset vulnerability search
• [x] Scope filter (token / team / organization-wide)
• [x] npm + Docker distribution

v2

• [ ] CVE detail tool
• [ ] CSPM vulnerability endpoints

References

• yamory — Vulnerability management cloud
• yamory API Documentation
• Model Context Protocol
• MCP TypeScript SDK

License

MIT — see LICENSE.

Disclaimer

This project is an unofficial, community-driven integration. It is not affiliated with, endorsed by, or supported by yamory or Assured, Inc. "yamory" is a trademark of Assured, Inc. Use of the yamory API is subject to yamory's terms of service.

日本語 / Japanese

yamory MCP Server（非公式）

注意: 本プロジェクトは非公式のコミュニティ主導プロジェクトであり、yamory および Assured 株式会社とは一切関係ありません。

Model Context Protocol (MCP) を利用した yamory 脆弱性管理クラウド向けサーバーです。AI エージェントを yamory のナレッジベースに接続し、何が検出されたか、どの程度危険か、どう修正すべきかを提供します。

クイックセットアップ

1. API トークンの取得

1. yamory にログイン
2. チーム設定 > API トークン に移動
3. 用途に API Server を選択して トークンを発行 をクリック
4. 環境変数にトークンを設定:

export YAMORY_API_TOKEN="your-token-here"
# export YAMORY_TEAM_NAME="your-team"     # 任意: チーム名でフィルタリング

ヒント: シェルプロファイル（~/.zshrc、~/.bashrc など）に追加すると、セッション間で保持されます。

2. MCP クライアントへの追加

Claude Code

claude mcp add yamory \
  --env YAMORY_API_TOKEN=$YAMORY_API_TOKEN \
  -- npx @aranseshita/yamory-mcp-server@latest

Claude Desktop — claude_desktop_config.json に追加:

{
  "mcpServers": {
    "yamory": {
      "command": "npx",
      "args": ["@aranseshita/yamory-mcp-server@latest"],
      "env": {
        "YAMORY_API_TOKEN": "<YOUR_TOKEN>"
      }
    }
  }
}

チーム共有 (Claude Code) — プロジェクトルートに .mcp.json を追加。各メンバーは自身の環境で YAMORY_API_TOKEN を設定:

{
  "mcpServers": {
    "yamory": {
      "command": "npx",
      "args": ["@aranseshita/yamory-mcp-server@latest"],
      "env": { "YAMORY_API_TOKEN": "${YAMORY_API_TOKEN}" }
    }
  }
}

何を聞ける？

脆弱性の確認と修正

チームの現在の脆弱性を確認し、実行可能な修正ガイダンスを取得できます。コーディングエージェントと組み合わせて自動修正も可能です。

「未対応の脆弱性を一覧表示して」
「即時対応が必要な脆弱性は？」
「log4j の脆弱性はどう修正する？」
「影響を受けるパッケージを更新して PR を作成して」

CVE 影響分析

新しい CVE が公開された際、プロジェクトへの影響を即座に確認できます。

「CVE-2024-XXXXX は影響ある？」
「脆弱なパッケージを使用しているプロジェクトを一覧表示して」
「影響と修正手順をまとめて」

レポートとトリアージ

定例会、監査、セキュリティレビュー向けのサマリーを生成できます。

「今月の脆弱性状況をまとめて」
「即時対応の未解決問題があるプロジェクトは？」
「CISA KEV カタログに含まれる RCE 脆弱性を表示して」
「今月新たに検出された脆弱性は何件？」

ツール

本サーバーは5つのツールを提供します。MCP クライアントが全パラメータを自動検出します。主要なフィルターは以下の通りです。

| ツール | 説明 | |--------|------| | search_vulns | アプリライブラリとコンテナイメージの脆弱性を一括検索（推奨デフォルト） | | search_app_vulns | アプリライブラリ（npm, Maven, pip 等）の脆弱性を検索 | | search_container_vulns | コンテナイメージの脆弱性を検索 | | search_host_vulns | ホスト（OS レベル）の脆弱性を検索 | | search_asset_vulns | IT 資産（ネットワーク機器等）の脆弱性を検索 |

共通フィルター:

| フィルター | 例 | 説明 | |------------|-----|------| | keyword | log4j, CVE-2024-1234 | プロジェクト名、パッケージ名、CVE-ID で検索 | | triageLevel | immediate,delayed | トリアージ優先度 | | status | open | 脆弱性のステータス | | vulnType | RCE, XSS, SQLI | 脆弱性カテゴリ | | cvssScore | 9.0 | 最低 CVSS スコア | | includeKev | true | CISA KEV に含まれる脆弱性のみ | | includePoc | true | 公開 PoC がある脆弱性のみ | | openTimestamp | 2024-01-01 | この日付以降に検出されたもの |

これらを覚える必要はありません。自然言語で検索したい内容を伝えれば、AI エージェントが適切なフィルターを選択します。

設定

環境変数

| 変数 | 必須 | 説明 | |------|------|------| | YAMORY_API_TOKEN | はい | yamory チーム設定から取得した API トークン | | YAMORY_TEAM_NAME | いいえ | チーム名でフィルタリング。組織全体にアクセスする場合は * を設定（セキュリティチームトークンのみ） |

スコープフィルター

yamory API トークンはチーム単位でスコープが設定されます。YAMORY_TEAM_NAME でさらにフィルタリングできます:

| シナリオ | トークン | YAMORY_TEAM_NAME | 結果 | |----------|----------|---------------------|------| | 開発者 | チームトークン | （未設定） | 自チームのデータのみ | | セキュリティリード（1チーム） | セキュリティトークン | Dev Team | 指定チームに限定 | | セキュリティリード（組織全体） | セキュリティトークン | * | 全チーム表示 |

セキュリティ

• トークンをバージョン管理にコミットしない
• 環境変数または .mcp.json の ${YAMORY_API_TOKEN} 構文を使用
• 可能な限り YAMORY_TEAM_NAME でスコープを制限
• yamory チーム設定から定期的にトークンをローテーション

免責事項

本プロジェクトは非公式のコミュニティ主導の統合です。yamory および Assured 株式会社とは一切の提携・推奨・サポート関係にありません。「yamory」は Assured 株式会社の商標です。yamory API の使用は yamory の利用規約に従います。