https://github.com/badchars/supply-chain-mcp-server
90-tool MCP server for software supply chain security — OSV, GHSA, NVD, EPSS, CISA KEV, npm, PyPI, crates.io, RubyGems, NuGet, Packagist, Go, deps.dev, Scorecard, Rekor, ClearlyDefined, Repology, typosquatting detection
https://github.com/badchars/supply-chain-mcp-server
ai-agent claude cve dependency-security llm mcp model-context-protocol npm-security openssf osv pypi sbom scorecard security sigstore software-composition-analysis supply-chain supply-chain-security typosquatting vulnerability
Last synced: 2 days ago
JSON representation
90-tool MCP server for software supply chain security — OSV, GHSA, NVD, EPSS, CISA KEV, npm, PyPI, crates.io, RubyGems, NuGet, Packagist, Go, deps.dev, Scorecard, Rekor, ClearlyDefined, Repology, typosquatting detection
- Host: GitHub
- URL: https://github.com/badchars/supply-chain-mcp-server
- Owner: badchars
- License: mit
- Created: 2026-06-24T02:00:45.000Z (9 days ago)
- Default Branch: main
- Last Pushed: 2026-06-24T02:08:42.000Z (9 days ago)
- Last Synced: 2026-06-24T02:14:05.982Z (9 days ago)
- Topics: ai-agent, claude, cve, dependency-security, llm, mcp, model-context-protocol, npm-security, openssf, osv, pypi, sbom, scorecard, security, sigstore, software-composition-analysis, supply-chain, supply-chain-security, typosquatting, vulnerability
- Language: TypeScript
- Homepage: https://www.npmjs.com/package/supply-chain-mcp-server
- Size: 0 Bytes
- Stars: 1
- Watchers: 0
- Forks: 0
- Open Issues: 4
-
Metadata Files:
- Readme: README.ar.md
- Changelog: CHANGELOG.md
- Contributing: CONTRIBUTING.md
- Funding: .github/FUNDING.yml
- License: LICENSE
- Code of conduct: CODE_OF_CONDUCT.md
- Security: SECURITY.md
Awesome Lists containing this project
README
English |
简体中文 |
繁體中文 |
한국어 |
Deutsch |
Español |
Français |
Italiano |
Dansk |
日本語 |
Polski |
Русский |
Bosanski |
العربية |
Norsk |
Português (Brasil) |
ไทย |
Türkçe |
Українська |
বাংলা |
Ελληνικά |
Tiếng Việt |
हिन्दी
أمن سلسلة توريد البرمجيات لوكلاء الذكاء الاصطناعي.
فحص الثغرات، تحليل الحزم، التحقق من المصدر، كشف التزييف الإملائي، استخبارات التبعيات — 90 أداة من 21 مصدر بيانات في خادم MCP واحد.
يحصل وكيل الذكاء الاصطناعي الخاص بك على كشف مخاطر سلسلة التوريد عند الطلب، بدون تصفح يدوي للسجلات.
---
## نظرة عامة
**supply-chain-mcp-server** يوفر لوكلاء الذكاء الاصطناعي 90 أداة لأمن سلسلة توريد البرمجيات عبر [بروتوكول سياق النموذج](https://modelcontextprotocol.io). يغطي فحص الثغرات (OSV، GHSA، NVD)، تحليل الحزم (npm، PyPI، crates.io، Go، RubyGems، NuGet، Packagist)، التحقق من المصدر (Sigstore Rekor)، استخبارات التبعيات (deps.dev، Libraries.io)، OpenSSF Scorecard، توقعات استغلال EPSS، CISA KEV، وكشف التزييف الإملائي.
---
## البداية السريعة
### الخيار 1: npx (بدون تثبيت)
```bash
npx supply-chain-mcp-server
```
### الخيار 2: الاستنساخ
```bash
git clone https://github.com/badchars/supply-chain-mcp-server.git
cd supply-chain-mcp-server
bun install
```
### متغيرات البيئة (جميعها اختيارية)
```bash
export GITHUB_TOKEN=your-token # حدود أعلى لواجهة برمجة GHSA و Scorecard
export LIBRARIES_API_KEY=your-key # الوصول لواجهة برمجة Libraries.io
export NVD_API_KEY=your-key # حدود أعلى لواجهة برمجة NVD
```
جميع مفاتيح API اختيارية. بدون مفاتيح، لا تزال تعمل OSV، deps.dev، npm، PyPI، crates.io، Go، EPSS، CISA KEV، Rekor، كشف التزييف الإملائي والمزيد.
---
## ملخص الأدوات — 90 أداة، 21 مصدر بيانات
يوفر 90 أداة تغطي استخبارات الثغرات، بيانات الحزم الوصفية، تقييم الأمان، التوافق مع التراخيص، التحقق من المصدر، وكشف التزييف الإملائي.
---
## الاتصال بوكيل الذكاء الاصطناعي
Claude Code
```bash
claude mcp add supply-chain -- npx supply-chain-mcp-server
```
Claude Desktop
أضف إلى `~/Library/Application Support/Claude/claude_desktop_config.json`:
```json
{
"mcpServers": {
"supply-chain": {
"command": "npx",
"args": ["-y", "supply-chain-mcp-server"],
"env": {
"GITHUB_TOKEN": "optional",
"LIBRARIES_API_KEY": "optional",
"NVD_API_KEY": "optional"
}
}
}
}
```
Cursor / Windsurf / عملاء MCP آخرون
نفس تنسيق تكوين JSON. وجّه الأمر إلى `npx supply-chain-mcp-server`.
---
## مصادر البيانات (21)
| المصدر | الفئة | ما يوفره |
|--------|-------|----------|
| [OSV.dev](https://osv.dev) | الثغرات | قاعدة بيانات ثغرات متعددة الأنظمة البيئية |
| [GHSA](https://github.com/advisories) | الثغرات | إرشادات أمان GitHub |
| [NVD](https://nvd.nist.gov) | الثغرات | قاعدة بيانات ثغرات NIST، CVE |
| [EPSS](https://www.first.org/epss) | الثغرات | تقييم توقعات الاستغلال |
| [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) | الثغرات | كتالوج الثغرات المستغلة المعروفة |
| [npm](https://www.npmjs.com) | الحزم | بيانات سجل npm الوصفية والإرشادات |
| [PyPI](https://pypi.org) | الحزم | فهرس حزم Python |
| [crates.io](https://crates.io) | الحزم | سجل حزم Rust |
| [RubyGems](https://rubygems.org) | الحزم | سجل حزم Ruby |
| [NuGet](https://www.nuget.org) | الحزم | سجل حزم .NET |
| [Packagist](https://packagist.org) | الحزم | سجل حزم PHP |
| [Go Proxy](https://proxy.golang.org) | الحزم | وكيل وحدات Go |
| [Go Vuln DB](https://vuln.go.dev) | الثغرات | قاعدة بيانات ثغرات Go |
| [deps.dev](https://deps.dev) | التبعيات | رسم بياني للتبعيات والبيانات الوصفية |
| [OpenSSF Scorecard](https://scorecard.dev) | الأمان | تقييم أمان البرمجيات مفتوحة المصدر |
| [Best Practices](https://www.bestpractices.dev) | الأمان | شارة OpenSSF Best Practices |
| [Libraries.io](https://libraries.io) | التبعيات | استخبارات تبعيات الحزم |
| [ClearlyDefined](https://clearlydefined.io) | التراخيص | بيانات التوافق مع التراخيص |
| [Sigstore Rekor](https://rekor.sigstore.dev) | المصدر | مصدر البناء وشفافية التوقيع |
| [Repology](https://repology.org) | الحزم | تتبع الحزم عبر التوزيعات |
| [Typosquat](https://en.wikipedia.org/wiki/Typosquatting) | الأمان | كشف التزييف الإملائي لأسماء الحزم |
---
## البنية
```
src/
index.ts # نقطة دخول CLI (--help، --list، خادم stdio)
protocol/
mcp-server.ts # إعداد خادم MCP (نقل stdio)
tools.ts # سجل الأدوات — جميع الأدوات الـ 90
types/
index.ts # أنواع مشتركة
utils/
rate-limiter.ts # محدد معدل لكل مزود
cache.ts # ذاكرة مؤقتة TTL لاستجابات API
osv/ # أدوات ثغرات OSV.dev
ghsa/ # أدوات إرشادات أمان GitHub
nvd/ # أدوات ثغرات NVD
epss/ # أدوات تقييم EPSS
kev/ # أدوات CISA KEV
npm/ # أدوات حزم npm
pypi/ # أدوات حزم PyPI
crates/ # أدوات حزم crates.io
rubygems/ # أدوات RubyGems
nuget/ # أدوات NuGet
packagist/ # أدوات Packagist
go/ # أدوات Go Proxy
govuln/ # أدوات Go Vuln DB
depsdev/ # أدوات تبعيات deps.dev
scorecard/ # أدوات OpenSSF Scorecard
badge/ # أدوات شارة Best Practices
libraries/ # أدوات Libraries.io
clearlydefined/ # أدوات تراخيص ClearlyDefined
rekor/ # أدوات مصدر Sigstore Rekor
repology/ # أدوات تتبع حزم Repology
typosquat/ # أدوات كشف التزييف الإملائي
meta/ # أدوات Meta
```
---
## جزء من مجموعة MCP الأمنية
| المشروع | المجال | الأدوات |
|---------|--------|---------|
| [hackbrowser-mcp](https://github.com/badchars/hackbrowser-mcp) | اختبار الأمان عبر المتصفح | 39 أداة |
| [cloud-audit-mcp](https://github.com/badchars/cloud-audit-mcp) | أمان السحابة (AWS/Azure/GCP) | 38 أداة |
| [github-security-mcp](https://github.com/badchars/github-security-mcp) | الوضع الأمني لـ GitHub | 39 أداة |
| [cve-mcp](https://github.com/badchars/cve-mcp) | استخبارات الثغرات | 23 أداة |
| [osint-mcp-server](https://github.com/badchars/osint-mcp-server) | الاستخبارات مفتوحة المصدر والاستطلاع | 37 أداة |
| [darknet-mcp-server](https://github.com/badchars/darknet-mcp-server) | استخبارات الويب المظلم والتهديدات | 66 أداة |
| **supply-chain-mcp-server** | **أمن سلسلة التوريد** | **90 أداة** |
---
للاختبار والتقييم الأمني المسؤول فقط.
تأكد من الحصول على الإذن المناسب قبل إجراء تحليل سلسلة التوريد.
رخصة MIT • بُني بـ Bun + TypeScript