PROCESSUS

Du Code Source à la Production

SmeltSec gère l'intégralité du cycle de vie du serveur MCP — analyse, portes de sécurité, génération, scoring, déploiement, surveillance et export des données.

Analyser

Porte 1

Générer

Porte 2

Score & Rapport

Déployer & Configurer

Surveiller

Analyser & Exporter

ÉTAPE 1

Analyser

Code Source → Analyse AST

SmeltSec analyse votre code source avec Tree-sitter pour extraire les signatures de fonctions, les définitions de routes et les surfaces d'API. Compatible avec les dépôts GitHub, les specs OpenAPI et les descriptions en langage naturel. L'analyse AST identifie les surfaces d'API publiques et filtre les fonctions internes.

Équivalent API

POST /v1/generate { source: 'github', repo: 'owner/repo' }

Analyse de la Source

◆ Analyse du dépôt... 342 files, 89 functions discovered

◆ Analyse Tree-sitter... Python AST extracted for 89 functions

◆ Cartographie de la surface API... 14 public endpoints, 75 internal filtered

✓ Détection des routes : Flask routes (GET: 8, POST: 4, PUT: 2)

✓ Analyse d'authentification : 12/14 endpoints require @auth_required

✓ Prêt pour la Porte 1 14 tool candidates identified

ÉTAPE 2

Porte 1 : Pré-Génération

Scan de Sécurité → Code Source

Avant toute génération de serveur MCP, la Porte 1 exécute 4 outils de sécurité sur votre code source : Semgrep pour le SAST, Gitleaks pour les secrets, OSV-Scanner pour les vulnérabilités des dépendances, et l'Analyse de Surface API pour la cartographie des permissions. Les découvertes critiques bloquent la génération.

Équivalent API

GET /v1/servers/{id}/security/gate1

Porte 1 — Scan Pré-Génération

◆ Semgrep SAST : 342 files scanned — 0 critical, 1 warning (unsafe pattern usage)

◆ Gitleaks : Code + git history — 0 secrets found

◆ OSV-Scanner : 23 deps — 1 medium CVE (requests 2.28)

◆ Surface API : 14 endpoints mapped, auth requirements logged

✓ Décision Porte 1 : PASSED — 0 blockers, 2 warnings

ÉTAPE 3

Générer

AST → Code du Serveur MCP

Une fois la Porte 1 passée, SmeltSec génère le serveur MCP. Les outils sont sélectionnés depuis l'analyse de surface API, les descriptions sont générées à partir des signatures de fonctions et des docstrings, et le résultat est du code FastMCP (Python) ou TypeScript SDK prêt pour la production.

Équivalent API

POST /v1/generate { source: 'github', repo: 'owner/repo' }

Pipeline de Génération

◆ Sélection des outils... 14 tools selected from 89 functions

◆ Génération des descriptions... AST + docstring analysis

◆ Construction des schémas... Zod schemas from type annotations

◆ Génération du serveur... FastMCP + Python 3.11

✓ Patterns de code : Retry, circuit breaker, sanitization embedded

✓ Serveur généré 14 tools, ready for Gate 2

ÉTAPE 4

Porte 2 : Post-Génération

Scan de Sécurité → Serveur Généré

La Porte 2 analyse le serveur MCP généré avant de vous le livrer. MCP-Scan détecte l'empoisonnement d'outils, l'Analyse Comportementale compare les descriptions et le comportement du code, Semgrep Self-Check identifie de nouvelles vulnérabilités, et la Vérification des Permissions prévient les escalades.

Équivalent API

GET /v1/servers/{id}/security/gate2

Porte 2 — Scan Post-Génération

◆ MCP-Scan : 14 tools scanned — 0 poisoning, 0 hidden instructions

◆ Analyse Comportementale : 14/14 tools — intent matches action

◆ Semgrep Self-Check : 0 new vulnerabilities introduced

◆ Vérification des Permissions : No escalation detected (all tools ≤ source scope)

✓ Décision Porte 2 : PASSED — Security Grade: A (91/100)

ÉTAPE 5

Score & Rapport

Score Qualité + Sécurité

Après avoir passé les deux portes, le serveur est évalué selon deux axes : la qualité (6 dimensions mesurant l'utilisabilité LLM) et la sécurité (5 catégories mesurant le risque de vulnérabilité). Les deux scores génèrent des bulletins avec des suggestions de correction automatique.

Équivalent API

POST /v1/score { manifest: '...' }

Pipeline de Scoring

◆ Score Qualité : 87/100 (B) — 6 dimensions

◆ Score Sécurité : 91/100 (A) — 5 categories

◆ Description : 92/100 | Schema: 88 | Naming: 95

◆ Chevauchement : 78/100 — search_docs and find_docs similar

✓ Correction auto : 3 suggestions available (+12 points)

✓ Rapports générés Quality + Security report cards

ÉTAPE 6

Déployer & Configurer

Configs Client → Synchronisation Auto

Déployez votre serveur et générez des configurations client pour Claude Desktop, Cursor, VS Code, ChatGPT, Windsurf et les clients personnalisés. L'installation en un clic copie le fichier de configuration au bon chemin. Le mode démon surveille les changements du serveur et met à jour toutes les configurations automatiquement.

Équivalent API

GET /v1/servers/{id}/config?client=claude_desktop

Déploiement & Config

✓ Claude Desktop : synced — ~/.config/claude/config.json

✓ Cursor : synced — ~/.cursor/mcp.json

✓ VS Code : synced — .vscode/mcp.json

✓ ChatGPT : synced — plugin manifest

✓ Windsurf : synced — ~/.windsurf/mcp.json

◆ Démon : running — auto-sync on changes

ÉTAPE 7

Surveiller

Détection des Changements → Mises à Jour Chirurgicales

Liez un dépôt GitHub à votre serveur. SmeltSec installe un webhook qui se déclenche sur les événements de push. Quand le code change, les diffs Tree-sitter identifient les fonctions modifiées, les associent aux outils MCP et classifient l'impact. Les correctifs chirurgicaux préservent vos personnalisations.

Équivalent API

POST /v1/servers/{id}/monitor { repoUrl, branch: 'main' }

Détection des Changements

◆ Push détecté : main @ abc1234

◆ Calcul des différences : api/users.py (3 functions changed)

! Impact ÉLEVÉ : get_user — parameter signature changed

~ Impact MOYEN : update_user — return type changed

· Impact FAIBLE : list_users — docstring updated

→ Mise à jour proposée : Surgical patch (preserves 12 edits)

ÉTAPE 8

Analyser & Exporter

Analytique d'Usage → Export des Données

Suivez les analytiques par outil : comptages d'appels, taux d'erreur, percentiles de latence (p50/p95/p99) et distribution des clients. 51 endpoints REST API. Enregistrez des webhooks pour 16 types d'événements. Export en masse vers JSON Lines, CSV ou Parquet. Transmettez des métriques temporelles via OpenTelemetry.

Équivalent API

GET /v1/servers/{id}/analytics?range=7d

Analytique & Export

◆ Total appels (7j) : 12,847

◆ Taux d'erreur : 1.2% (below 5% threshold)

◆ Latence p95 : 142ms

◆ REST API : 51 endpoints, 12 groups

◆ Webhooks : 16 events — HMAC-SHA256 signed

◆ OTEL push : Grafana / Datadog / custom OTLP endpoint

COMPARAISON

Sans vs Avec SmeltSec

Sécurité et maintenance — avant et après SmeltSec.

Tâche

Sans

Avec SmeltSec

Analyse de sécurité

Aucun / manuel

8 outils, 2 portes, automatique

Détection d'empoisonnement d'outils

N/A

MCP-Scan + analyse comportementale

Générer un serveur MCP depuis un dépôt

2-4 heures

< 60 secondes

Détecter les changements d'API en amont

Révision manuelle

Automatique (webhook)

Mettre à jour les outils du serveur

Réécrire de zéro

Correctif chirurgical

Évaluer la qualité des outils

N/A

Auto-score 6 dimensions

Suivre l'utilisation des outils

Journalisation personnalisée

Proxy plug-and-play

Synchroniser les configs client

Copie manuelle

Un clic + démon

Exporter les données analytiques

Construire un pipeline

API / export en masse / OTEL

Prêt à commencer ?

Générez votre premier serveur MCP en moins de 60 secondes. Analyse de sécurité incluse dans chaque plan.