言語: 日本語English

sonatype-guide プラグイン

カテゴリ
セキュリティ
トピック
セキュリティ・認証・コンプライアンス · AI エージェント・AI アプリ開発
初回確認
2026-07-09
最終確認
2026-07-13
解説の最終更新
2026-07-12

以下の解説は生成 AI によるものです。出典と照らし合わせてご確認ください。

sonatype-guideは、Sonatype Guide MCPサーバーをClaude Codeに統合し、ソフトウェアサプライチェーンの情報とディペンデンシーのセキュリティ分析を提供するプラグインです。READMEによると、依存パッケージのインストールやアップグレード前に自動で評価し、CVEを深刻度スコア付きで表示し、Developer Trust Scoreを用いた安全なバージョンを提案し、依存関係マニフェストのセキュリティ・ライセンス・ポリシー違反を検査し、ライブラリ同士をセキュリティ観点で比較する機能を持ちます。利用にはSonatype Guideのアカウントとトークンが必要で、環境変数SONATYPE_GUIDE_TOKENに設定し、claude plugin install sonatype-guideでインストールします。付属のskillは依存関係のインストール・追加・アップグレード時に自動で起動し、ユーザーが直接質問することも可能です。

概要

Sonatype Guideは、guide.sonatype.comでアカウントとAPIトークンを用いて利用する外部サービスで、依存パッケージの脆弱性・品質情報を提供します。本プラグインはMCPサーバー経由でこのサービスをClaude Codeに接続します。

sonatype-guide でできること

  • 依存パッケージのインストールやアップグレード前に、依頼がなくても自動で評価する
  • CVEを深刻度スコア付きで表示し、直接依存と間接依存のリスクを区別して分析する
  • Developer Trust Scoreと破壊的変更の分析を伴う、優先順位付きの安全なバージョンアップグレード経路を提案する
  • 依存関係マニフェストをスキャンし、セキュリティ・ライセンス・ポリシー準拠の問題を検査する
  • 複数のライブラリをセキュリティ観点で並べて比較する
  • 「package.jsonの脆弱な依存関係をスキャンして」「axiosとgot、HTTPリクエストにはどちらを使うべき?」のように直接質問できる

出典

原文の説明(英語)

Sonatype Guide MCP server for software supply chain intelligence and dependency security. Analyze dependencies for vulnerabilities, get secure version recommendations, and check component quality metrics.

sonatype-guide の変更履歴

一覧に戻る