PROCESO

Del Código al Entorno de Producción

SmeltSec gestiona todo el ciclo de vida del servidor MCP: análisis, puertas de seguridad, generación, puntuación, despliegue, monitoreo y exportación de datos.

Analizar

Puerta 1

Generar

Puerta 2

Puntuar e Informar

Desplegar y Configurar

Monitorear

Analizar y Exportar

PASO 1

Analizar

Código Fuente → Análisis AST

SmeltSec analiza tu código fuente usando Tree-sitter para extraer firmas de funciones, definiciones de rutas y superficies de API. Admite repositorios de GitHub, especificaciones OpenAPI y descripciones en lenguaje natural. El análisis AST identifica las superficies de API públicas y filtra las funciones internas.

Equivalente de API

POST /v1/generate { source: 'github', repo: 'owner/repo' }

Análisis de Fuente

◆ Analizando repositorio... 342 files, 89 functions discovered

◆ Análisis con Tree-sitter... Python AST extracted for 89 functions

◆ Mapeo de superficie de API... 14 public endpoints, 75 internal filtered

✓ Detección de rutas: Flask routes (GET: 8, POST: 4, PUT: 2)

✓ Análisis de autenticación: 12/14 endpoints require @auth_required

✓ Listo para la Puerta 1 14 tool candidates identified

PASO 2

Puerta 1: Pre-Generación

Escaneo de Seguridad → Código Fuente

Antes de generar cualquier servidor MCP, la Puerta 1 ejecuta 4 herramientas de seguridad sobre tu código fuente: Semgrep para SAST, Gitleaks para secretos, OSV-Scanner para vulnerabilidades de dependencias y Análisis de Superficie de API para mapeo de permisos. Los hallazgos críticos bloquean la generación.

Equivalente de API

GET /v1/servers/{id}/security/gate1

Puerta 1 — Escaneo Pre-Generación

◆ Semgrep SAST: 342 files scanned — 0 critical, 1 warning (unsafe pattern usage)

◆ Gitleaks: Code + git history — 0 secrets found

◆ OSV-Scanner: 23 deps — 1 medium CVE (requests 2.28)

◆ Superficie de API: 14 endpoints mapped, auth requirements logged

✓ Decisión Puerta 1: PASSED — 0 blockers, 2 warnings

PASO 3

Generar

AST → Código del Servidor MCP

Con la Puerta 1 superada, SmeltSec genera el servidor MCP. Las herramientas se seleccionan del análisis de superficie de API, las descripciones se generan a partir de firmas de funciones y docstrings, y el resultado es código FastMCP (Python) o TypeScript SDK listo para producción.

Equivalente de API

POST /v1/generate { source: 'github', repo: 'owner/repo' }

Pipeline de Generación

◆ Seleccionando herramientas... 14 tools selected from 89 functions

◆ Generando descripciones... AST + docstring analysis

◆ Construyendo esquemas... Zod schemas from type annotations

◆ Generando servidor... FastMCP + Python 3.11

✓ Patrones de código: Retry, circuit breaker, sanitization embedded

✓ Servidor generado 14 tools, ready for Gate 2

PASO 4

Puerta 2: Post-Generación

Escaneo de Seguridad → Servidor Generado

La Puerta 2 escanea el servidor MCP generado antes de entregártelo. MCP-Scan detecta envenenamiento de herramientas, el Análisis de Comportamiento compara descripciones frente al comportamiento del código, Semgrep Self-Check detecta nuevas vulnerabilidades y la Verificación de Permisos previene escalaciones.

Equivalente de API

GET /v1/servers/{id}/security/gate2

Puerta 2 — Escaneo Post-Generación

◆ MCP-Scan: 14 tools scanned — 0 poisoning, 0 hidden instructions

◆ Análisis de Comportamiento: 14/14 tools — intent matches action

◆ Semgrep Self-Check: 0 new vulnerabilities introduced

◆ Verificación de Permisos: No escalation detected (all tools ≤ source scope)

✓ Decisión Puerta 2: PASSED — Security Grade: A (91/100)

PASO 5

Puntuar e Informar

Puntuación de Calidad + Seguridad

Tras superar ambas puertas, el servidor se puntúa en dos ejes: calidad (6 dimensiones que miden la usabilidad con LLM) y seguridad (5 categorías que miden el riesgo de vulnerabilidades). Ambas puntuaciones generan informes con sugerencias de corrección automática.

Equivalente de API

POST /v1/score { manifest: '...' }

Pipeline de Puntuación

◆ Puntuación de Calidad: 87/100 (B) — 6 dimensions

◆ Puntuación de Seguridad: 91/100 (A) — 5 categories

◆ Descripción: 92/100 | Schema: 88 | Naming: 95

◆ Superposición: 78/100 — search_docs and find_docs similar

✓ Corrección automática: 3 suggestions available (+12 points)

✓ Informes generados Quality + Security report cards

PASO 6

Desplegar y Configurar

Configuraciones de Cliente → Sincronización Automática

Despliega tu servidor y genera configuraciones de cliente para Claude Desktop, Cursor, VS Code, ChatGPT, Windsurf y clientes personalizados. La instalación con un clic copia el archivo de configuración a la ruta correcta. El modo daemon monitorea los cambios del servidor y actualiza todas las configuraciones automáticamente.

Equivalente de API

GET /v1/servers/{id}/config?client=claude_desktop

Despliegue y Configuración

✓ Claude Desktop: synced — ~/.config/claude/config.json

✓ Cursor: synced — ~/.cursor/mcp.json

✓ VS Code: synced — .vscode/mcp.json

✓ ChatGPT: synced — plugin manifest

✓ Windsurf: synced — ~/.windsurf/mcp.json

◆ Daemon: running — auto-sync on changes

PASO 7

Monitorear

Detección de Cambios → Actualizaciones Quirúrgicas

Vincula un repositorio de GitHub a tu servidor. SmeltSec instala un webhook que se activa en eventos de push. Cuando el código cambia, los diffs de Tree-sitter identifican qué funciones cambiaron, las mapean a herramientas MCP y clasifican el impacto. Los parches quirúrgicos preservan tus personalizaciones.

Equivalente de API

POST /v1/servers/{id}/monitor { repoUrl, branch: 'main' }

Detección de Cambios

◆ Push detectado: main @ abc1234

◆ Comparando cambios: api/users.py (3 functions changed)

! Impacto ALTO: get_user — parameter signature changed

~ Impacto MEDIO: update_user — return type changed

· Impacto BAJO: list_users — docstring updated

→ Actualización propuesta: Surgical patch (preserves 12 edits)

PASO 8

Analizar y Exportar

Analítica de Uso → Exportación de Datos

Rastrea analíticas por herramienta: conteos de llamadas, tasas de error, percentiles de latencia (p50/p95/p99) y distribución de clientes. 51 endpoints REST API. Registra webhooks para 16 tipos de eventos. Exportación masiva a JSON Lines, CSV o Parquet. Envía métricas de series temporales vía OpenTelemetry.

Equivalente de API

GET /v1/servers/{id}/analytics?range=7d

Analítica y Exportación

◆ Total de llamadas (7d): 12,847

◆ Tasa de error: 1.2% (below 5% threshold)

◆ Latencia p95: 142ms

◆ REST API: 51 endpoints, 12 groups

◆ Webhooks: 16 events — HMAC-SHA256 signed

◆ OTEL push: Grafana / Datadog / custom OTLP endpoint

COMPARACIÓN

Sin SmeltSec vs Con SmeltSec

Seguridad y mantenimiento — antes y después de SmeltSec.

Tarea

Sin

Con SmeltSec

Escaneo de seguridad

Ninguno / manual

8 herramientas, 2 puertas, automático

Detección de envenenamiento de herramientas

N/D

MCP-Scan + análisis de comportamiento

Generar servidor MCP desde un repositorio

2-4 horas

< 60 segundos

Detectar cambios de API en upstream

Revisión manual

Automático (webhook)

Actualizar herramientas del servidor

Reescribir desde cero

Parche quirúrgico

Puntuar la calidad de las herramientas

N/D

Auto-puntuación de 6 dimensiones

Rastrear el uso de herramientas

Registros personalizados

Proxy de integración directa

Sincronizar configuraciones de cliente

Copia manual

Un clic + daemon

Exportar datos de analítica

Construir un pipeline

API / exportación masiva / OTEL

¿Listo para comenzar?

Genera tu primer servidor MCP en menos de 60 segundos. Escaneo de seguridad incluido en todos los planes.