dep-diff-mcp
ロックファイルの差分を人間が読めるアップグレード計画に変換するMCPサーバーです。
AIアシスタント(Cursor、Claude Desktop、Claude Code)をDependabotのプルリクエスト、npm outdatedの出力、または任意のパッケージバージョンのペアに向けることで、ランク付けされたアップグレード計画を取得できます。これには、セマンティックバージョニングの分類、GitHubリリースノートから抽出された破壊的変更、範囲内で修正されたCVE、移行ガイドへのリンク、およびパッケージごとの明確な推奨事項が含まれます。
インストール
Claude Code
1コマンド、ユーザースコープ(すべてのプロジェクトで利用可能):
claude mcp add -s user dep-diff -- npx -y @digicatalyst/dep-diff-mcpプロジェクトスコープ(リポジトリのルートに.mcp.jsonを作成、チームで共有):
claude mcp add -s project dep-diff -- npx -y @digicatalyst/dep-diff-mcp明示的なトークンを使用する場合(gh CLIで認証済みの場合はスキップしてください — 以下のGitHubトークンを参照):
claude mcp add -s user --env GITHUB_TOKEN=ghp_xxx dep-diff -- npx -y @digicatalyst/dep-diff-mcp確認:
claude mcp listClaude Codeセッションを再起動してサーバーを読み込みます。
CursorおよびClaude Desktop
MCPクライアントの設定に追加します:
Cursor:
~/.cursor/mcp.jsonClaude Desktop:
~/Library/Application Support/Claude/claude_desktop_config.json(macOS) または%APPDATA%\Claude\claude_desktop_config.json(Windows)
{
"mcpServers": {
"dep-diff": {
"command": "npx",
"args": ["-y", "@digicatalyst/dep-diff-mcp"]
}
}
}MCPクライアントを再起動します。「このDependabotのプルリクエストでリスクがあるものは?」のように尋ねると、ツールが自動的に呼び出されます。
Related MCP server: proof-of-commitment
GitHubトークン(オプションですが推奨)
サーバーはGitHub APIにアクセスしてリリースノートを読み取ります。トークンがない場合、1時間あたり60リクエスト(GitHubの匿名制限)に制限されます。これは単一パッケージのクエリには十分ですが、ロックファイルの一括分析には不十分です。
サーバーは以下の順序でトークンを解決します:
GITHUB_TOKEN環境変数(設定されている場合)。gh auth token— GitHub CLI がインストールされ認証されている場合、サーバーはそのトークンを自動的に使用します。設定変更は不要です。匿名(1時間あたり60リクエスト)。
推奨:gh CLIの使用
すでにghがインストールされている場合(brew install gh && gh auth login)、ここで停止してください。サーバーは既存の認証情報を取得します。プレーンテキストのトークンをどこにも置く必要はありません。
代替案:環境変数
https://github.com/settings/tokens で**きめ細かな(fine-grained)**トークンを作成します:
トークン名:
dep-diff-mcp有効期限: 90日(定期的に更新してください)
リポジトリへのアクセス:
Public Repositories (read-only)— プライベートリポジトリへのアクセス権は不要です権限: デフォルトのパブリック読み取り以外はなし —
repo、workflow、user、または書き込み権限は付与しないでください
次に、MCP設定でそれを参照します:
{
"mcpServers": {
"dep-diff": {
"command": "npx",
"args": ["-y", "@digicatalyst/dep-diff-mcp"],
"env": { "GITHUB_TOKEN": "github_pat_xxx" }
}
}
}セキュリティに関する注意
この設定ファイルはディスク上にプレーンテキストで保存されます。権限を厳しく管理し(
chmod 600)、トークンをAIチャット、Issue、または共有画面に貼り付けないでください — トランスクリプトは保持されることが多いためです。この設定内のトークンは最小権限(パブリックリポジトリの読み取り専用)である必要があります。漏洩した場合でも、すでに読み取り可能なパブリックデータしか読み取れません。
トークンは定期的に更新してください。露出した可能性のあるトークンは https://github.com/settings/tokens で取り消してください。
サーバーはトークンをstdout/stderrやレスポンスペイロードに書き込むことはありません。
ツール
analyze_package_change
1つのパッケージのアップグレードを分析します。入力:ecosystem (npm または pypi)、name、fromVersion、toVersion。
analyze_packages_bulk
最大50個のパッケージのアップグレードを並列で分析します。リスク(security > caution > review > likely-safe > safe)に基づいてランク付けされたパッケージと、集計数を返します。
取得できる情報
セマンティックバージョニングの分類 — メジャー / マイナー / パッチ / ダウングレード / 不明
破壊的変更 — GitHubリリースノートのヘッダーから抽出
セキュリティ修正 —
fromVersionに存在しtoVersionで解決されたCVE(OSV.dev経由)移行リンク — リリースノートで見つかったアップグレードガイドのURL
推奨事項 — 1行の判定 + レベル
サポートされているエコシステム
npm
PyPI
開発
npm install
npm run build
GITHUB_TOKEN=ghp_xxx npm run inspect # MCP Inspectorライセンス
MIT
Maintenance
Latest Blog Posts
MCP directory API
We provide all the information about MCP servers via our MCP API.
curl -X GET 'https://glama.ai/api/mcp/v1/servers/DigiCatalyst-Systems/dep-diff-mcp'
If you have feedback or need assistance with the MCP directory API, please join our Discord server