sonatype-guide プラグイン
プラグイン Claude Code セキュリティ セキュリティ・認証・コンプライアンスAI エージェント・AI アプリ開発以下の解説は生成 AI によるものです。出典と照らし合わせてご確認ください。
sonatype-guideは、Sonatype Guide MCPサーバーをClaude Codeに統合し、ソフトウェアサプライチェーンの情報とディペンデンシーのセキュリティ分析を提供するプラグインです。READMEによると、依存パッケージのインストールやアップグレード前に自動で評価し、CVEを深刻度スコア付きで表示し、Developer Trust Scoreを用いた安全なバージョンを提案し、依存関係マニフェストのセキュリティ・ライセンス・ポリシー違反を検査し、ライブラリ同士をセキュリティ観点で比較する機能を持ちます。利用にはSonatype Guideのアカウントとトークンが必要で、環境変数SONATYPE_GUIDE_TOKENに設定し、claude plugin install sonatype-guideでインストールします。付属のskillは依存関係のインストール・追加・アップグレード時に自動で起動し、ユーザーが直接質問することも可能です。
概要
Sonatype Guideは、guide.sonatype.comでアカウントとAPIトークンを用いて利用する外部サービスで、依存パッケージの脆弱性・品質情報を提供します。本プラグインはMCPサーバー経由でこのサービスをClaude Codeに接続します。
sonatype-guide でできること
- 依存パッケージのインストールやアップグレード前に、依頼がなくても自動で評価する
- CVEを深刻度スコア付きで表示し、直接依存と間接依存のリスクを区別して分析する
- Developer Trust Scoreと破壊的変更の分析を伴う、優先順位付きの安全なバージョンアップグレード経路を提案する
- 依存関係マニフェストをスキャンし、セキュリティ・ライセンス・ポリシー準拠の問題を検査する
- 複数のライブラリをセキュリティ観点で並べて比較する
- 「package.jsonの脆弱な依存関係をスキャンして」「axiosとgot、HTTPリクエストにはどちらを使うべき?」のように直接質問できる
出典
原文の説明(英語)
Sonatype Guide MCP server for software supply chain intelligence and dependency security. Analyze dependencies for vulnerabilities, get secure version recommendations, and check component quality metrics.
sonatype-guide の変更履歴
- プラグイン sonatype-guide を追加