VOOZH about

URL: https://glama.ai/mcp/servers/DigiCatalyst-Systems/dep-diff-mcp?locale=zh-CN

⇱ dep-diff-mcp by DigiCatalyst-Systems | Glama

dep-diff-mcp

MCP 服务器,用于将锁文件差异转换为人类可读的升级计划。

将你的 AI 助手(Cursor、Claude Desktop、Claude Code)指向 Dependabot PR、npm outdated 输出或任何一对包版本,即可获得一份分级的升级计划:语义化版本类别、从 GitHub 发行说明中提取的重大变更、范围内已修复的 CVE、迁移指南链接以及针对每个包的明确建议。

安装

Claude Code

一条命令,用户范围(在每个项目中可用):

claude mcp add -s user dep-diff -- npx -y @digicatalyst/dep-diff-mcp

项目范围(在仓库根目录写入 .mcp.json,团队共享):

claude mcp add -s project dep-diff -- npx -y @digicatalyst/dep-diff-mcp

使用显式令牌(如果你已通过 gh CLI 认证,请跳过此步骤 — 参见下方的 GitHub 令牌):

claude mcp add -s user --env GITHUB_TOKEN=ghp_xxx dep-diff -- npx -y @digicatalyst/dep-diff-mcp

验证:

claude mcp list

重启 Claude Code 会话以加载服务器。

Cursor 和 Claude Desktop

添加到你的 MCP 客户端配置中:

  • Cursor: ~/.cursor/mcp.json

  • Claude Desktop: ~/Library/Application Support/Claude/claude_desktop_config.json (macOS) 或 %APPDATA%\Claude\claude_desktop_config.json (Windows)

{
 "mcpServers": {
 "dep-diff": {
 "command": "npx",
 "args": ["-y", "@digicatalyst/dep-diff-mcp"]
 }
 }
}

重启你的 MCP 客户端。询问类似“这个 Dependabot PR 中有什么风险?”之类的问题,工具将自动调用。

Related MCP server: proof-of-commitment

GitHub 令牌(可选但推荐)

服务器会访问 GitHub API 以读取发行说明。如果没有令牌,你每小时只能进行 60 次请求(GitHub 的匿名限制)——这足以应对偶尔的单个包查询,但不足以进行大规模的锁文件分析。

服务器按以下顺序解析令牌:

  1. GITHUB_TOKEN 环境变量(如果已设置)。

  2. gh auth token — 如果安装并认证了 GitHub CLI,服务器会自动使用该令牌。无需更改配置。

  3. 匿名(每小时 60 次请求)。

推荐:使用 gh CLI

如果你已经安装了 gh (brew install gh && gh auth login),到此为止即可 —— 服务器会自动获取你现有的认证。无需在任何地方放置明文令牌。

替代方案:环境变量

https://github.com/settings/tokens 创建一个细粒度令牌:

  • 令牌名称: dep-diff-mcp

  • 过期时间: 90 天(定期轮换)

  • 仓库访问权限: Public Repositories (read-only) — 无私有仓库访问权限

  • 权限: 除默认的公共读取权限外,无需其他权限 — 不要授予 repoworkflowuser 或任何写入权限

然后在 MCP 配置中引用它:

{
 "mcpServers": {
 "dep-diff": {
 "command": "npx",
 "args": ["-y", "@digicatalyst/dep-diff-mcp"],
 "env": { "GITHUB_TOKEN": "github_pat_xxx" }
 }
 }
}

安全说明

  • 此配置文件以明文形式存储在你的磁盘上。请保持严格的权限设置 (chmod 600),并且不要将令牌粘贴到 AI 聊天、问题反馈或共享屏幕中 — 对话记录通常会被保留。

  • 此配置中的令牌应遵循最小权限原则(仅限公共仓库读取)。即使泄露,它也只能读取你本已可以读取的公共数据。

  • 定期轮换令牌。在 https://github.com/settings/tokens 撤销任何可能已泄露的令牌。

  • 服务器绝不会将令牌写入 stdout/stderr 或响应负载中。

工具

analyze_package_change

分析单个包升级。输入:ecosystem (npmpypi)、namefromVersiontoVersion

analyze_packages_bulk

并行分析多达 50 个包的升级。返回按风险等级(security > caution > review > likely-safe > safe)排序的包,以及汇总统计信息。

你将获得什么

  • 语义化版本分类 — 主版本 / 次版本 / 修补版本 / 降级 / 未知

  • 重大变更 — 从 GitHub 发行说明标题中提取

  • 安全修复 — 在 fromVersion 中存在但在 toVersion 中已解决的 CVE(通过 OSV.dev)

  • 迁移链接 — 在发行说明中找到的升级指南 URL

  • 建议 — 单行结论 + 等级

支持的生态系统

  • npm

  • PyPI

开发

npm install
npm run build
GITHUB_TOKEN=ghp_xxx npm run inspect # MCP Inspector

许可证

MIT

A
license - permissive license
A
quality
B
maintenance

Maintenance

Maintainers
Response time
0dRelease cycle
11Releases (12mo)

Latest Blog Posts

MCP directory API

We provide all the information about MCP servers via our MCP API.

curl -X GET 'https://glama.ai/api/mcp/v1/servers/DigiCatalyst-Systems/dep-diff-mcp'

If you have feedback or need assistance with the MCP directory API, please join our Discord server