SmeltSecSmeltSec
    Features
    |Security
    |How It Works
    |Pricing
    |Docs
    |Blog
    |About
    npm
    1. Home
    2. /
    3. How it works
    प्रक्रिया

    60 सेकंड में सोर्स से प्रोडक्शन तक

    आठ चरण। हर चरण एक इनपुट लेता है, एक क्रिया चलाता है, एक आउटपुट देता है। SmeltSec को एक रेपो या OpenAPI स्पेक पर इंगित करें; हस्ताक्षरित, स्कोर किया हुआ, डिप्लॉय-तैयार MCP सर्वर प्राप्त करें।

    1
    स्रोत इनटेक
    2
    कोडबेस विश्लेषण
    3
    टूल परिभाषा जनरेशन
    4
    सर्वर कोड जनरेशन
    5
    Gate 1
    6
    Gate 2
    7
    गुणवत्ता स्कोरिंग
    8
    प्रमाणन + डिप्लॉय
    1
    चरण 1

    स्रोत इनटेक

    इनपुट: GitHub रेपो, OpenAPI स्पेक या प्राकृतिक भाषा

    SmeltSec को तीन में से एक स्रोत पर इंगित करें। सार्वजनिक या निजी GitHub URL रेपो क्लोन शुरू करता है। OpenAPI 3.0/3.1 दस्तावेज़ सीधे पार्स होता है। प्राकृतिक भाषा विवरण संबंधित SDK डॉक्स खींचता है। आउटपुट: AST कार्य के लिए तैयार सामान्यीकृत स्रोत बंडल।

    API समकक्ष
    POST /v1/generate { source: 'github', repo: 'owner/repo' }
    सोर्स विश्लेषण
    ◆ रिपॉजिटरी का विश्लेषण हो रहा है... 342 files, 89 functions discovered
    ◆ Tree-sitter पार्सिंग... Python AST extracted for 89 functions
    ◆ API सर्फेस मैपिंग... 14 public endpoints, 75 internal filtered
    ✓ रूट डिटेक्शन: Flask routes (GET: 8, POST: 4, PUT: 2)
    ✓ Auth विश्लेषण: 12/14 endpoints require @auth_required
    ✓ Gate 1 के लिए तैयार 14 tool candidates identified
    2
    चरण 2

    कोडबेस विश्लेषण

    इनपुट: स्रोत बंडल → Tree-sitter AST

    Tree-sitter बंडल को पार्स करता है और हर फ़ाइल के लिए टाइप्ड AST देता है। SmeltSec ट्री पर चलता है, सार्वजनिक फ़ंक्शन सिग्नेचर और रूट हैंडलर निकालता है, और internal या deprecated मार्क किए गए को फ़िल्टर करता है। आउटपुट: कॉल करने योग्य यूनिट्स की उम्मीदवार सूची और टाइप एनोटेशन।

    API समकक्ष
    GET /v1/servers/{id}/security/gate1
    Gate 1 — प्री-जनरेशन स्कैन
    ◆ Semgrep SAST: 342 files scanned — 0 critical, 1 warning (unsafe pattern usage)
    ◆ Gitleaks: Code + git history — 0 secrets found
    ◆ OSV-Scanner: 23 deps — 1 medium CVE (requests 2.28)
    ◆ API Surface: 14 endpoints mapped, auth requirements logged
    ✓ Gate 1 निर्णय: PASSED — 0 blockers, 2 warnings
    3
    चरण 3

    टूल परिभाषा जनरेशन

    इनपुट: AST उम्मीदवार → टाइप्ड MCP टूल स्कीमा

    एक LLM पास हर उम्मीदवार को MCP टूल परिभाषा में बदलता है: नाम, विवरण, और तर्कों व रिटर्न प्रकार के लिए सख्त JSON स्कीमा। Docstrings विवरण बनते हैं; टाइप एनोटेशन स्कीमा बनते हैं। आउटपुट: सर्वर में जोड़ने के लिए तैयार टाइप्ड टूल्स का मैनिफ़ेस्ट।

    API समकक्ष
    POST /v1/generate { source: 'github', repo: 'owner/repo' }
    जनरेशन पाइपलाइन
    ◆ टूल क्यूरेट हो रहे हैं... 14 tools selected from 89 functions
    ◆ विवरण जनरेट हो रहे हैं... AST + docstring analysis
    ◆ स्कीमा बन रहे हैं... Zod schemas from type annotations
    ◆ सर्वर जनरेट हो रहा है... FastMCP + Python 3.11
    ✓ कोड पैटर्न: Retry, circuit breaker, sanitization embedded
    ✓ सर्वर जनरेट हुआ 14 tools, ready for Gate 2
    4
    चरण 4

    सर्वर कोड जनरेशन

    इनपुट: टूल मैनिफ़ेस्ट → FastMCP / TypeScript SDK सर्वर

    हर टूल परिभाषा एक वास्तविक हैंडलर बनती है। SmeltSec FastMCP (Python 3.11) या TypeScript SDK कोड निकालता है, retries, circuit breakers, argument sanitization और आपके चुने हुए ट्रांसपोर्ट को वायर करता है। आउटपुट: पिन की गई dependencies के साथ चलने योग्य MCP सर्वर रेपो।

    API समकक्ष
    GET /v1/servers/{id}/security/gate2
    Gate 2 — पोस्ट-जनरेशन स्कैन
    ◆ MCP-Scan: 14 tools scanned — 0 poisoning, 0 hidden instructions
    ◆ Behavioral Analysis: 14/14 tools — intent matches action
    ◆ Semgrep Self-Check: 0 new vulnerabilities introduced
    ◆ Permission Verification: No escalation detected (all tools ≤ source scope)
    ✓ Gate 2 निर्णय: PASSED — Security Grade: A (91/100)
    5
    चरण 5

    Gate 1: सुरक्षा स्कैन

    इनपुट: जनरेटेड सर्वर → SAST, सीक्रेट्स, CVE, पॉइज़निंग जाँच

    सब कुछ लोकल। सब कुछ मुफ़्त। Semgrep SAST नियम चलाता है, Gitleaks कोड और git इतिहास से सीक्रेट्स स्कैन करता है, OSV-Scanner पिन की गई dependencies को OSV डेटाबेस से जाँचता है, MCP-Scan टूल-विवरण पॉइज़निंग का पता लगाता है। Critical निष्कर्ष पाइपलाइन को रोक देता है। आउटपुट: हस्ताक्षरित Gate 1 रिपोर्ट।

    API समकक्ष
    POST /v1/score { manifest: '...' }
    स्कोरिंग पाइपलाइन
    ◆ Quality Score: 87/100 (B) — 6 dimensions
    ◆ Security Score: 91/100 (A) — 5 categories
    ◆ Description: 92/100 | Schema: 88 | Naming: 95
    ◆ Overlap: 78/100 — search_docs and find_docs similar
    ✓ Auto-fix: 3 suggestions available (+12 points)
    ✓ रिपोर्ट जनरेट हुई Quality + Security report cards
    6
    चरण 6

    Gate 2: व्यवहार विश्लेषण

    इनपुट: Gate 1 रिपोर्ट + टूल मैनिफ़ेस्ट → LLM व्यवहार जाँच

    एक LLM हर टूल के विवरण की उसके कोड के वास्तविक व्यवहार से तुलना करता है। असंगतियाँ व्यवहार विचलन के रूप में सामने आती हैं: एक टूल जो पढ़ने का दावा करता है लेकिन लिखता भी है, एक विवरण जो साइड इफेक्ट छुपाता है, एक अनुमति जो कभी घोषित नहीं की गई। यह चरण paid है (≈ $0.02 प्रति सर्वर)। आउटपुट: प्रति टूल Pass / Warn / Fail के साथ व्यवहार रिपोर्ट।

    API समकक्ष
    GET /v1/servers/{id}/config?client=claude_desktop
    डिप्लॉय और कॉन्फ़िग
    ✓ Claude Desktop: synced — ~/.config/claude/config.json
    ✓ Cursor: synced — ~/.cursor/mcp.json
    ✓ VS Code: synced — .vscode/mcp.json
    ✓ ChatGPT: synced — plugin manifest
    ✓ Windsurf: synced — ~/.windsurf/mcp.json
    ◆ Daemon: running — auto-sync on changes
    7
    चरण 7

    गुणवत्ता स्कोरिंग

    इनपुट: सर्वर + रिपोर्ट → 6 आयामों में स्कोर

    छह आयाम, प्रति सर्वर एक लेटर ग्रेड: विवरण की स्पष्टता, स्कीमा पूर्णता, नामकरण स्थिरता, मौजूदा टूल्स के साथ ओवरलैप, त्रुटि सतह, observability hooks। हर आयाम का संख्यात्मक स्कोर और सुधार सुझाव है। आउटपुट: कार्रवाई योग्य आइटम्स के साथ रिपोर्ट कार्ड (A–F)।

    API समकक्ष
    POST /v1/servers/{id}/monitor { repoUrl, branch: 'main' }
    परिवर्तन पहचान
    ◆ Push डिटेक्ट हुआ: main @ abc1234
    ◆ Diffing: api/users.py (3 functions changed)
    ! HIGH प्रभाव: get_user — parameter signature changed
    ~ MEDIUM प्रभाव: update_user — return type changed
    · LOW प्रभाव: list_users — docstring updated
    → अपडेट प्रस्तावित: Surgical patch (preserves 12 edits)
    8
    चरण 8

    प्रमाणन + डिप्लॉय

    इनपुट: पास सर्वर → हस्ताक्षरित प्रमाणन + क्लाइंट कॉन्फ़िग

    SmeltSec सर्वर, दोनों gate रिपोर्ट, गुणवत्ता स्कोर, और SBOM को cosign से हस्ताक्षरित एक ही attestation में पैकेज करता है। Claude Desktop, Cursor, VS Code, ChatGPT और Windsurf के लिए क्लाइंट कॉन्फ़िग sync daemon एक पास में लिखता है। आउटपुट: हस्ताक्षरित, डिप्लॉय करने योग्य MCP सर्वर, हर टूल हर क्लाइंट में वायर्ड।

    API समकक्ष
    GET /v1/servers/{id}/analytics?range=7d
    Analytics और Export
    ◆ कुल कॉल (7d): 12,847
    ◆ Error rate: 1.2% (below 5% threshold)
    ◆ Latency p95: 142ms
    ◆ REST API: 51 endpoints, 12 groups
    ◆ Webhooks: 16 events — HMAC-SHA256 signed
    ◆ OTEL push: Grafana / Datadog / custom OTLP endpoint
    Capabilities

    See all capabilities

    Nine modules — generation, security, quality scoring, monitoring, config sync, analytics, API, code patterns, governance — with what each one actually does.

    Deep dives

    Related reading

    We're Building MCP Servers Wrong

    Most MCP servers today are hand-rolled wrappers around REST APIs. Here is why that is a dead end — and what a repeatable pipeline looks like.

    Read post

    From REST API to MCP Server in 10 Minutes

    A walkthrough of the SmeltSec pipeline: point it at a REST endpoint, watch the eight steps run, end with a signed and deployable server.

    Read post

    The Hidden Cost of Not Monitoring Your MCP Servers

    What happens after step eight: upstream drift, silent breakage, and the cost of catching it in production instead of in CI.

    Read post
    FAQ

    Process Questions

    What to expect when running SmeltSec end to end.

    The full eight-step pipeline — source intake, codebase analysis, tool generation, server code generation, Gate 1, Gate 2, quality scoring, and attestation — finishes in under 60 seconds for a medium REST API. Large specs take a few minutes.
    A Critical finding blocks the step. The report gives you exact file paths, scanner IDs, and suggested fixes. Fix the issue and re-run, or waive individual findings with justification on Team and Enterprise plans.
    Yes. Every generation produces a preview you can inspect locally — source code, tool manifests, security reports, and quality score — before you publish it. Nothing deploys automatically.
    Yes. SmeltSec integrates with GitHub, GitLab, and Bitbucket and can pull specs and push generated servers into private repos. Enterprise plans support self-hosted Git and SAML SSO for teams.

    शुरू करने के लिए तैयार?

    60 सेकंड से कम में अपना पहला MCP सर्वर जनरेट करें। सभी योजनाओं में सुरक्षा स्कैनिंग शामिल है।

    Product

    FeaturesSecurityPricingHow It WorksDocumentation

    Resources

    Quick StartAPI ReferenceCLI ReferenceLeaderboardBlogChangelogGitHubnpm (@smeltsec/cli)npm (@smeltsec/core)

    Company

    PrivacyTerms
    SmeltSec
    © 2026 SmeltSec. Open source CLI · Proprietary SaaS.
    PrivacyTerms