sca-scanner-mcp

SCA Scanner MCP Server - 为 AI 编程助手（如 Claude、Cursor 等）提供 SCA 开源组件安全扫描能力的 Model Context Protocol (MCP) 服务端。

功能特性

• 启动安全扫描 — 对指定项目目录执行开源组件安全漏洞扫描
• 查询分析状态 — 轮询 SCA 平台的分析进度，内置自动等待机制
• 获取检测结果 — 获取漏洞统计、依赖组件信息、严重等级分布等摘要
• 连接验证 — 验证平台连接和 API Token 是否有效

安装使用

无需手动安装，在 MCP 客户端中通过 npx 直接运行即可。

Claude Desktop

在 claude_desktop_config.json 中添加：

{
  "mcpServers": {
    "softsafeSCAScannerMcp": {
      "command": "npx",
      "args": ["-y", "sca-scanner-mcp"],
      "env": {
        "SCA_PLATFORM_URL": "https://your-sca-platform.com",
        "SCA_MCP_USER_TOKEN": "your-api-token"
      },
      "longRunning": true,
      "timeout": 3600
    }
  }
}

Cursor

Settings → Features → MCP → 添加：

{
  "softsafeSCAScannerMcp": {
    "command": "npx",
    "args": ["-y", "sca-scanner-mcp"],
    "env": {
      "SCA_PLATFORM_URL": "https://your-sca-platform.com",
      "SCA_MCP_USER_TOKEN": "your-api-token"
    },
    "longRunning": true,
    "timeout": 3600
  }
}

环境变量

| 变量名 | 必填 | 默认值 | 说明 | |---|---|---|---| | SCA_PLATFORM_URL | 是 | — | SCA 平台地址，如 https://sca.example.com | | SCA_MCP_USER_TOKEN | 是 | — | 平台 API Token | | SCA_SCANNER_DIR | 否 | ~/.sca-mcp/scanner/ | Scanner JAR 下载存放目录 | | SCA_JAVA_PATH | 否 | $JAVA_HOME/bin/java | Java 可执行文件路径 |

MCP Tools

| 工具名 | 说明 | |---|---| | startScan | 启动 SCA 安全扫描，提交项目目录进行开源组件漏洞分析 | | getDetectStatusByVersionId | 查询平台分析状态，支持自动等待轮询 | | getDetectResultAbstract | 获取扫描检测结果摘要（漏洞统计、严重等级分布等） | | validateConnection | 验证平台连接和 API Token 有效性 |

典型工作流

1. 调用 startScan 提交扫描任务，获得 versionId
2. 调用 getDetectStatusByVersionId 轮询分析状态，直到 detectFinalStatus 为终态
3. 调用 getDetectResultAbstract 获取最终检测结果摘要

环境要求

• Node.js >= 18
• Java（运行 Scanner JAR 需要）