dep-diff-mcp
락파일(lockfile) 차이점을 사람이 읽을 수 있는 업그레이드 계획으로 변환하는 MCP 서버입니다.
AI 어시스턴트(Cursor, Claude Desktop, Claude Code)를 Dependabot PR, npm outdated 출력 또는 임의의 패키지 버전 쌍에 연결하면 시맨틱 버전 클래스, GitHub 릴리스 노트에서 추출한 주요 변경 사항, 범위 내에서 수정된 CVE, 마이그레이션 가이드 링크 및 패키지별 명확한 권장 사항이 포함된 순위가 매겨진 업그레이드 계획을 얻을 수 있습니다.
설치
Claude Code
한 번의 명령어로 사용자 범위에 설치(모든 프로젝트에서 사용 가능):
claude mcp add -s user dep-diff -- npx -y @digicatalyst/dep-diff-mcp프로젝트 범위에 설치(저장소 루트에 .mcp.json 생성, 팀 공유):
claude mcp add -s project dep-diff -- npx -y @digicatalyst/dep-diff-mcp명시적 토큰 사용(인증된 gh CLI가 있는 경우 생략 가능 — 아래 GitHub 토큰 참조):
claude mcp add -s user --env GITHUB_TOKEN=ghp_xxx dep-diff -- npx -y @digicatalyst/dep-diff-mcp확인:
claude mcp listClaude Code 세션을 재시작하여 서버를 불러옵니다.
Cursor 및 Claude Desktop
MCP 클라이언트 설정에 추가:
Cursor:
~/.cursor/mcp.jsonClaude Desktop:
~/Library/Application Support/Claude/claude_desktop_config.json(macOS) 또는%APPDATA%\Claude\claude_desktop_config.json(Windows)
{
"mcpServers": {
"dep-diff": {
"command": "npx",
"args": ["-y", "@digicatalyst/dep-diff-mcp"]
}
}
}MCP 클라이언트를 재시작합니다. "이 Dependabot PR에서 위험한 점은 무엇인가요?"와 같이 질문하면 도구가 자동으로 호출됩니다.
Related MCP server: proof-of-commitment
GitHub 토큰 (선택 사항이지만 권장)
이 서버는 릴리스 노트를 읽기 위해 GitHub API에 접속합니다. 토큰이 없으면 시간당 60회의 요청(GitHub의 익명 제한)만 가능하며, 이는 가끔 수행하는 단일 패키지 쿼리에는 충분하지만 대량의 락파일 분석에는 부족합니다.
서버는 다음 순서로 토큰을 확인합니다:
GITHUB_TOKEN환경 변수(설정된 경우).gh auth token— GitHub CLI가 설치되고 인증된 경우, 서버가 해당 토큰을 자동으로 사용합니다. 별도의 설정 변경이 필요 없습니다.익명(시간당 60회 요청).
권장 사항: gh CLI 사용
이미 gh가 설치되어 있다면(brew install gh && gh auth login), 여기서 멈추세요. 서버가 기존 인증 정보를 자동으로 가져옵니다. 일반 텍스트 토큰을 어디에도 저장할 필요가 없습니다.
대안: 환경 변수
https://github.com/settings/tokens에서 세분화된(fine-grained) 토큰을 생성하세요:
토큰 이름:
dep-diff-mcp만료일: 90일 (주기적으로 교체)
저장소 접근 권한:
Public Repositories (read-only)— 비공개 저장소 접근 권한 없음권한: 기본 공개 읽기 권한 외에는 없음 —
repo,workflow,user또는 기타 쓰기 권한을 부여하지 마십시오.
그런 다음 MCP 설정에서 참조하세요:
{
"mcpServers": {
"dep-diff": {
"command": "npx",
"args": ["-y", "@digicatalyst/dep-diff-mcp"],
"env": { "GITHUB_TOKEN": "github_pat_xxx" }
}
}
}보안 참고 사항
이 설정 파일은 디스크에 일반 텍스트로 저장됩니다. 권한을 엄격하게 관리(
chmod 600)하고 토큰을 AI 채팅, 이슈 또는 공유 화면에 붙여넣지 마십시오 — 대화 기록은 종종 보관됩니다.이 설정의 토큰은 최소 권한(공개 저장소 읽기 전용)이어야 합니다. 유출되더라도 이미 읽을 수 있는 공개 데이터만 읽을 수 있습니다.
토큰을 주기적으로 교체하십시오. 노출되었을 가능성이 있는 토큰은 https://github.com/settings/tokens에서 즉시 폐기하십시오.
서버는 토큰을 stdout/stderr 또는 응답 페이로드에 절대 기록하지 않습니다.
도구
analyze_package_change
단일 패키지 업그레이드를 분석합니다. 입력값: ecosystem (npm 또는 pypi), name, fromVersion, toVersion.
analyze_packages_bulk
최대 50개의 패키지 업그레이드를 병렬로 분석합니다. 위험도(security > caution > review > likely-safe > safe)에 따라 순위가 매겨진 패키지와 요약 카운트를 반환합니다.
제공되는 정보
시맨틱 버전 분류 — major / minor / patch / downgrade / unknown
주요 변경 사항 — GitHub 릴리스 노트 헤더에서 추출
보안 수정 사항 —
fromVersion에는 존재하지만toVersion에서 해결된 CVE (OSV.dev를 통해 확인)마이그레이션 링크 — 릴리스 노트에서 발견된 업그레이드 가이드 URL
권장 사항 — 한 줄 평결 + 위험 수준
지원되는 생태계
npm
PyPI
개발
npm install
npm run build
GITHUB_TOKEN=ghp_xxx npm run inspect # MCP Inspector라이선스
MIT
Maintenance
Latest Blog Posts
MCP directory API
We provide all the information about MCP servers via our MCP API.
curl -X GET 'https://glama.ai/api/mcp/v1/servers/DigiCatalyst-Systems/dep-diff-mcp'
If you have feedback or need assistance with the MCP directory API, please join our Discord server