SmeltSecSmeltSec
    Features
    |Security
    |How It Works
    |Pricing
    |Docs
    |Blog
    |About
    npm
    1. Home
    2. /
    3. How it works
    PROCESO

    Del Código a Producción en 60 Segundos

    Ocho pasos. Cada uno toma una entrada, ejecuta una acción y emite una salida. Apunta SmeltSec a un repo o spec OpenAPI; obtén un servidor MCP firmado, puntuado y listo para desplegar.

    1
    Captura de origen
    2
    Análisis del código base
    3
    Generación de definiciones de herramientas
    4
    Generación del código del servidor
    5
    Gate 1
    6
    Gate 2
    7
    Puntuación de calidad
    8
    Atestación + despliegue
    1
    PASO 1

    Captura de origen

    Entrada: repo de GitHub, spec OpenAPI o lenguaje natural

    Apunta SmeltSec a una de tres fuentes. Una URL de GitHub pública o privada dispara un clon del repositorio. Un documento OpenAPI 3.0/3.1 se parsea directamente. Una descripción en lenguaje natural recupera los docs de SDK relevantes. Salida: un bundle de código normalizado, listo para el AST.

    Equivalente de API
    POST /v1/generate { source: 'github', repo: 'owner/repo' }
    Análisis de Fuente
    ◆ Analizando repositorio... 342 files, 89 functions discovered
    ◆ Análisis con Tree-sitter... Python AST extracted for 89 functions
    ◆ Mapeo de superficie de API... 14 public endpoints, 75 internal filtered
    ✓ Detección de rutas: Flask routes (GET: 8, POST: 4, PUT: 2)
    ✓ Análisis de autenticación: 12/14 endpoints require @auth_required
    ✓ Listo para la Puerta 1 14 tool candidates identified
    2
    PASO 2

    Análisis del código base

    Entrada: bundle de código → AST con Tree-sitter

    Tree-sitter parsea el bundle y emite un AST tipado por archivo. SmeltSec recorre el árbol, extrae firmas de funciones públicas y handlers de ruta, y descarta lo marcado como interno o deprecado. Salida: una lista de candidatos llamables con sus anotaciones de tipo.

    Equivalente de API
    GET /v1/servers/{id}/security/gate1
    Puerta 1 — Escaneo Pre-Generación
    ◆ Semgrep SAST: 342 files scanned — 0 critical, 1 warning (unsafe pattern usage)
    ◆ Gitleaks: Code + git history — 0 secrets found
    ◆ OSV-Scanner: 23 deps — 1 medium CVE (requests 2.28)
    ◆ Superficie de API: 14 endpoints mapped, auth requirements logged
    ✓ Decisión Puerta 1: PASSED — 0 blockers, 2 warnings
    3
    PASO 3

    Generación de definiciones de herramientas

    Entrada: candidatos del AST → esquemas MCP tipados

    Un pase con LLM convierte cada candidato en una definición de herramienta MCP: nombre, descripción y un JSON Schema estricto para argumentos y tipo de retorno. Los docstrings alimentan las descripciones; las anotaciones de tipo se convierten en el schema. Salida: un manifiesto de herramientas tipadas listas para cablear a un servidor.

    Equivalente de API
    POST /v1/generate { source: 'github', repo: 'owner/repo' }
    Pipeline de Generación
    ◆ Seleccionando herramientas... 14 tools selected from 89 functions
    ◆ Generando descripciones... AST + docstring analysis
    ◆ Construyendo esquemas... Zod schemas from type annotations
    ◆ Generando servidor... FastMCP + Python 3.11
    ✓ Patrones de código: Retry, circuit breaker, sanitization embedded
    ✓ Servidor generado 14 tools, ready for Gate 2
    4
    PASO 4

    Generación del código del servidor

    Entrada: manifiesto de herramientas → servidor FastMCP / TypeScript SDK

    Cada definición de herramienta se convierte en un handler real. SmeltSec emite código FastMCP (Python 3.11) o TypeScript SDK, conecta retries, circuit breakers, sanitización de argumentos y el transporte que elijas. Salida: un repositorio de servidor MCP ejecutable con dependencias fijadas.

    Equivalente de API
    GET /v1/servers/{id}/security/gate2
    Puerta 2 — Escaneo Post-Generación
    ◆ MCP-Scan: 14 tools scanned — 0 poisoning, 0 hidden instructions
    ◆ Análisis de Comportamiento: 14/14 tools — intent matches action
    ◆ Semgrep Self-Check: 0 new vulnerabilities introduced
    ◆ Verificación de Permisos: No escalation detected (all tools ≤ source scope)
    ✓ Decisión Puerta 2: PASSED — Security Grade: A (91/100)
    5
    PASO 5

    Gate 1: escaneo de seguridad

    Entrada: servidor generado → SAST, secretos, CVE, chequeo de envenenamiento

    Todo local. Todo gratis. Semgrep ejecuta las reglas SAST, Gitleaks escanea el código y el historial de git en busca de secretos, OSV-Scanner comprueba las dependencias fijadas contra la base de datos OSV, MCP-Scan detecta envenenamiento de descripciones. Un hallazgo Crítico detiene el pipeline. Salida: un informe firmado de Gate 1.

    Equivalente de API
    POST /v1/score { manifest: '...' }
    Pipeline de Puntuación
    ◆ Puntuación de Calidad: 87/100 (B) — 6 dimensions
    ◆ Puntuación de Seguridad: 91/100 (A) — 5 categories
    ◆ Descripción: 92/100 | Schema: 88 | Naming: 95
    ◆ Superposición: 78/100 — search_docs and find_docs similar
    ✓ Corrección automática: 3 suggestions available (+12 points)
    ✓ Informes generados Quality + Security report cards
    6
    PASO 6

    Gate 2: análisis de comportamiento

    Entrada: informe de Gate 1 + manifiesto → chequeo de comportamiento con LLM

    Un LLM compara la descripción de cada herramienta con lo que su código hace de verdad. Los desajustes aparecen como deriva de comportamiento: una herramienta que dice leer pero también escribe, una descripción que oculta efectos secundarios, un permiso que nunca declaró. Este paso es de pago (≈ $0.02 por servidor). Salida: un informe de comportamiento con Pass / Warn / Fail por herramienta.

    Equivalente de API
    GET /v1/servers/{id}/config?client=claude_desktop
    Despliegue y Configuración
    ✓ Claude Desktop: synced — ~/.config/claude/config.json
    ✓ Cursor: synced — ~/.cursor/mcp.json
    ✓ VS Code: synced — .vscode/mcp.json
    ✓ ChatGPT: synced — plugin manifest
    ✓ Windsurf: synced — ~/.windsurf/mcp.json
    ◆ Daemon: running — auto-sync on changes
    7
    PASO 7

    Puntuación de calidad

    Entrada: servidor + informes → puntuación en 6 dimensiones

    Seis dimensiones, una nota por servidor: claridad de descripción, completitud del schema, consistencia de nombres, solapamiento con herramientas existentes, superficie de errores y hooks de observabilidad. Cada dimensión tiene puntuación numérica y sugerencia de mejora. Salida: una report card (A–F) con acciones concretas.

    Equivalente de API
    POST /v1/servers/{id}/monitor { repoUrl, branch: 'main' }
    Detección de Cambios
    ◆ Push detectado: main @ abc1234
    ◆ Comparando cambios: api/users.py (3 functions changed)
    ! Impacto ALTO: get_user — parameter signature changed
    ~ Impacto MEDIO: update_user — return type changed
    · Impacto BAJO: list_users — docstring updated
    → Actualización propuesta: Surgical patch (preserves 12 edits)
    8
    PASO 8

    Atestación + despliegue

    Entrada: servidor aprobado → atestación firmada + configs de cliente

    SmeltSec empaqueta el servidor, los informes de ambos gates, la puntuación de calidad y un SBOM en una atestación firmada con cosign. Las configs de cliente para Claude Desktop, Cursor, VS Code, ChatGPT y Windsurf se escriben en una sola pasada por el daemon de sincronización. Salida: un servidor MCP firmado y desplegable, con cada herramienta conectada a cada cliente.

    Equivalente de API
    GET /v1/servers/{id}/analytics?range=7d
    Analítica y Exportación
    ◆ Total de llamadas (7d): 12,847
    ◆ Tasa de error: 1.2% (below 5% threshold)
    ◆ Latencia p95: 142ms
    ◆ REST API: 51 endpoints, 12 groups
    ◆ Webhooks: 16 events — HMAC-SHA256 signed
    ◆ OTEL push: Grafana / Datadog / custom OTLP endpoint
    Capabilities

    See all capabilities

    Nine modules — generation, security, quality scoring, monitoring, config sync, analytics, API, code patterns, governance — with what each one actually does.

    Deep dives

    Related reading

    We're Building MCP Servers Wrong

    Most MCP servers today are hand-rolled wrappers around REST APIs. Here is why that is a dead end — and what a repeatable pipeline looks like.

    Read post

    From REST API to MCP Server in 10 Minutes

    A walkthrough of the SmeltSec pipeline: point it at a REST endpoint, watch the eight steps run, end with a signed and deployable server.

    Read post

    The Hidden Cost of Not Monitoring Your MCP Servers

    What happens after step eight: upstream drift, silent breakage, and the cost of catching it in production instead of in CI.

    Read post
    FAQ

    Process Questions

    What to expect when running SmeltSec end to end.

    The full eight-step pipeline — source intake, codebase analysis, tool generation, server code generation, Gate 1, Gate 2, quality scoring, and attestation — finishes in under 60 seconds for a medium REST API. Large specs take a few minutes.
    A Critical finding blocks the step. The report gives you exact file paths, scanner IDs, and suggested fixes. Fix the issue and re-run, or waive individual findings with justification on Team and Enterprise plans.
    Yes. Every generation produces a preview you can inspect locally — source code, tool manifests, security reports, and quality score — before you publish it. Nothing deploys automatically.
    Yes. SmeltSec integrates with GitHub, GitLab, and Bitbucket and can pull specs and push generated servers into private repos. Enterprise plans support self-hosted Git and SAML SSO for teams.

    ¿Listo para comenzar?

    Genera tu primer servidor MCP en menos de 60 segundos. Escaneo de seguridad incluido en todos los planes.

    Product

    FeaturesSecurityPricingHow It WorksDocumentation

    Resources

    Quick StartAPI ReferenceCLI ReferenceLeaderboardBlogChangelogGitHubnpm (@smeltsec/cli)npm (@smeltsec/core)

    Company

    PrivacyTerms
    SmeltSec
    © 2026 SmeltSec. Open source CLI · Proprietary SaaS.
    PrivacyTerms