Перейти к содержанию

MCP-сервер

Начиная с версии 26.2.1, в системе реализована функциональность MCP-сервера.

MCP-сервер предоставляет API «для LLM-инструментов» (например, Claude Code или Cursor), который позволяет подключиться к AppSec.Wave и вызывать определенный набор запросов по протоколу MCP. Вызовы от MCP-клиента (Cursor или другого ИИ-инструмента, где есть настройка MCP) передаются в бэкенд AppSec.Wave, ответ возвращается в структурированном виде.

MCP-сервер поддерживает запросы на проведение сканирования исходного кода.

Подключение в LLM-инструменте

Пример способа подключения

Чтобы подключить LLM-инструмент, например Cursor, к MCP-серверу AppSec.Wave, добавьте в существующий файл настроек .mcp.json в раздел "mcpServers:" следующий конфиг для подключения MCP-сервера AppSec.Wave (либо создайте файл .mcp.json в случае его отсутствия):

{
    "mcpServers": {
        ...
        "wave": {
        "type": "http",
            "url": "${WAVE_URL}/api/mcp",
            "headers": {
                "X-MCP-Username": "${WAVE_USERNAME}",
                "X-MCP-Password": "${WAVE_PASSWORD}"
            }
        }
        ...
    }
}

Параметры подключения могут быть заданы непосредственно в файле или через переменные окружения:

  • "${WAVE_URL}" - URL вашего экземпляра AppSec.Wave.
  • "${WAVE_USERNAME}" - логин пользователя AppSec.Wave.
  • "${WAVE_PASSWORD}" - пароль пользователя AppSec.Wave.

Примечание

Файл настроек .mcp.json должен быть расположен в корне проекта в IDE (интегрированной среде разработки) или в LLM-инструменте. Запускать консоль для работы с LLM-инструментом следует из этой же директории.

В Cursor подключенный MCP-сервер AppSec.Wave будет доступен через пункт меню Cursor SettingsTools & MCP → раздел Installed MCP Servers → MCP-сервер wave.

После подключения пользователь может использовать запросы в виде промптов, например:

  • Просканируй код проекта/файла/класса/функции на безопасность, используя wave.
  • Есть ли уязвимости в проекте/файле/классе/функции.
  • Дай детальную информацию по уязвимости, используя информацию из wave.

Далее LLM-инструмент сам определяет, что ему необходимо сделать для выполнения запроса, например:

  • Запустить сканирование исходного кода.
  • Если обнаружены уязвимости, получить про них информацию.
  • Сформировать отчёт с результатами.
  • Совершить какие-либо дальнейшие действия с кодом и найденными уязвимостями (это уже работа/ответственность LLM-инструмента, а не AppSec.Wave).