SmeltSecSmeltSec
    Features
    |Security
    |How It Works
    |Pricing
    |Docs
    |Blog
    |About
    npm
    1. Home
    2. /
    3. How it works
    プロセス

    ソースから本番環境まで60秒

    8ステップ。各ステップは入力を受け取り、1つのアクションを実行し、1つの出力を出します。SmeltSecにリポジトリまたはOpenAPI仕様を指定すると、署名済み、採点済み、デプロイ可能なMCPサーバーが得られます。

    1
    ソース取り込み
    2
    コードベース解析
    3
    ツール定義の生成
    4
    サーバーコード生成
    5
    Gate 1
    6
    Gate 2
    7
    品質スコアリング
    8
    アテステーション + デプロイ
    1
    ステップ 1

    ソース取り込み

    入力: GitHubリポジトリ、OpenAPI仕様、または自然言語

    SmeltSec に3つのソースのいずれかを指定します。公開または非公開の GitHub URL はリポジトリのクローンをトリガーします。OpenAPI 3.0/3.1 ドキュメントは直接パースされます。自然言語の説明は関連 SDK ドキュメントを取り込みます。出力: AST 処理の準備が整った正規化ソースバンドル。

    APIの例
    POST /v1/generate { source: 'github', repo: 'owner/repo' }
    ソース解析
    ◆ リポジトリを解析中... 342 files, 89 functions discovered
    ◆ Tree-sitterで解析中... Python AST extracted for 89 functions
    ◆ APIサーフェスをマッピング中... 14 public endpoints, 75 internal filtered
    ✓ ルート検出: Flask routes (GET: 8, POST: 4, PUT: 2)
    ✓ 認証解析: 12/14 endpoints require @auth_required
    ✓ Gate 1の準備完了 14 tool candidates identified
    2
    ステップ 2

    コードベース解析

    入力: ソースバンドル → Tree-sitter AST

    Tree-sitter がバンドルをパースし、ファイルごとに型付き AST を出力します。SmeltSec はツリーを走査して公開関数シグネチャとルートハンドラを抽出し、internal や deprecated のマークが付いたものを除外します。出力: 呼び出し可能なユニットの候補リストと型アノテーション。

    APIの例
    GET /v1/servers/{id}/security/gate1
    Gate 1 — 生成前スキャン
    ◆ Semgrep SAST: 342 files scanned — 0 critical, 1 warning (unsafe pattern usage)
    ◆ Gitleaks: Code + git history — 0 secrets found
    ◆ OSV-Scanner: 23 deps — 1 medium CVE (requests 2.28)
    ◆ APIサーフェス: 14 endpoints mapped, auth requirements logged
    ✓ Gate 1 判定: PASSED — 0 blockers, 2 warnings
    3
    ステップ 3

    ツール定義の生成

    入力: AST 候補 → 型付き MCP ツールスキーマ

    LLM パスが各候補を MCP ツール定義に変換します: 名前、説明、引数と戻り値の型のための厳密な JSON Schema。docstring が説明になり、型アノテーションがスキーマになります。出力: サーバーに組み込む準備が整った型付きツールのマニフェスト。

    APIの例
    POST /v1/generate { source: 'github', repo: 'owner/repo' }
    生成パイプライン
    ◆ ツールを選定中... 14 tools selected from 89 functions
    ◆ 説明を生成中... AST + docstring analysis
    ◆ スキーマを構築中... Zod schemas from type annotations
    ◆ サーバーを生成中... FastMCP + Python 3.11
    ✓ コードパターン: Retry, circuit breaker, sanitization embedded
    ✓ サーバー生成完了 14 tools, ready for Gate 2
    4
    ステップ 4

    サーバーコード生成

    入力: ツールマニフェスト → FastMCP / TypeScript SDK サーバー

    各ツール定義は実際のハンドラになります。SmeltSec は FastMCP(Python 3.11)または TypeScript SDK コードを出力し、リトライ、サーキットブレーカー、引数サニタイズ、選択したトランスポートを組み込みます。出力: 依存関係が固定された実行可能な MCP サーバーリポジトリ。

    APIの例
    GET /v1/servers/{id}/security/gate2
    Gate 2 — 生成後スキャン
    ◆ MCP-Scan: 14 tools scanned — 0 poisoning, 0 hidden instructions
    ◆ 動作解析: 14/14 tools — intent matches action
    ◆ Semgrep Self-Check: 0 new vulnerabilities introduced
    ◆ Permission Verification: No escalation detected (all tools ≤ source scope)
    ✓ Gate 2 判定: PASSED — Security Grade: A (91/100)
    5
    ステップ 5

    Gate 1: セキュリティスキャン

    入力: 生成済みサーバー → SAST、シークレット、CVE、ポイズニングチェック

    すべてローカル、すべて無料。Semgrep が SAST ルールを実行し、Gitleaks がコードと git 履歴からシークレットを検出し、OSV-Scanner がピン留めされた依存関係を OSV データベースと照合し、MCP-Scan がツール説明のポイズニングを検出します。Critical の発見でパイプラインが停止します。出力: 署名付き Gate 1 レポート。

    APIの例
    POST /v1/score { manifest: '...' }
    スコアリングパイプライン
    ◆ 品質スコア: 87/100 (B) — 6 dimensions
    ◆ セキュリティスコア: 91/100 (A) — 5 categories
    ◆ 説明: 92/100 | Schema: 88 | Naming: 95
    ◆ 重複: 78/100 — search_docs and find_docs similar
    ✓ 自動修正: 3 suggestions available (+12 points)
    ✓ レポート生成完了 Quality + Security report cards
    6
    ステップ 6

    Gate 2: 動作解析

    入力: Gate 1 レポート + ツールマニフェスト → LLM による挙動チェック

    LLM が各ツールの説明と実際のコードの動作を比較します。ズレは動作ドリフトとして現れます: 読み取ると宣言しているのに書き込みもするツール、副作用を隠した説明、宣言していない権限。このステップは有料(サーバー1台あたり約 $0.02)です。出力: ツールごとに Pass / Warn / Fail を示す動作レポート。

    APIの例
    GET /v1/servers/{id}/config?client=claude_desktop
    デプロイ & 設定
    ✓ Claude Desktop: synced — ~/.config/claude/config.json
    ✓ Cursor: synced — ~/.cursor/mcp.json
    ✓ VS Code: synced — .vscode/mcp.json
    ✓ ChatGPT: synced — plugin manifest
    ✓ Windsurf: synced — ~/.windsurf/mcp.json
    ◆ デーモン: running — auto-sync on changes
    7
    ステップ 7

    品質スコアリング

    入力: サーバー + レポート → 6次元のスコア

    6つの次元、サーバーごとに1つの文字評価: 説明の明確さ、スキーマの完全性、命名の一貫性、既存ツールとの重複、エラー表面、可観測性フック。各次元には数値スコアと修正提案があります。出力: 実行可能な項目付きのレポートカード(A–F)。

    APIの例
    POST /v1/servers/{id}/monitor { repoUrl, branch: 'main' }
    変更検知
    ◆ プッシュ検知: main @ abc1234
    ◆ 差分解析: api/users.py (3 functions changed)
    ! 高影響: get_user — parameter signature changed
    ~ 中影響: update_user — return type changed
    · 低影響: list_users — docstring updated
    → 更新を提案: Surgical patch (preserves 12 edits)
    8
    ステップ 8

    アテステーション + デプロイ

    入力: 合格サーバー → 署名付きアテステーション + クライアント設定

    SmeltSec はサーバー、両方のゲートレポート、品質スコア、SBOM を cosign で署名された単一のアテステーションにまとめます。Claude Desktop、Cursor、VS Code、ChatGPT、Windsurf 向けクライアント設定は同期デーモンが一度に書き出します。出力: すべてのツールがすべてのクライアントに配線された、署名付きデプロイ可能な MCP サーバー。

    APIの例
    GET /v1/servers/{id}/analytics?range=7d
    分析 & エクスポート
    ◆ 総呼び出し数(7日): 12,847
    ◆ エラー率: 1.2% (below 5% threshold)
    ◆ レイテンシ p95: 142ms
    ◆ REST API: 51 endpoints, 12 groups
    ◆ Webhook: 16 events — HMAC-SHA256 signed
    ◆ OTELプッシュ: Grafana / Datadog / custom OTLP endpoint
    Capabilities

    See all capabilities

    Nine modules — generation, security, quality scoring, monitoring, config sync, analytics, API, code patterns, governance — with what each one actually does.

    Deep dives

    Related reading

    We're Building MCP Servers Wrong

    Most MCP servers today are hand-rolled wrappers around REST APIs. Here is why that is a dead end — and what a repeatable pipeline looks like.

    Read post

    From REST API to MCP Server in 10 Minutes

    A walkthrough of the SmeltSec pipeline: point it at a REST endpoint, watch the eight steps run, end with a signed and deployable server.

    Read post

    The Hidden Cost of Not Monitoring Your MCP Servers

    What happens after step eight: upstream drift, silent breakage, and the cost of catching it in production instead of in CI.

    Read post
    FAQ

    Process Questions

    What to expect when running SmeltSec end to end.

    The full eight-step pipeline — source intake, codebase analysis, tool generation, server code generation, Gate 1, Gate 2, quality scoring, and attestation — finishes in under 60 seconds for a medium REST API. Large specs take a few minutes.
    A Critical finding blocks the step. The report gives you exact file paths, scanner IDs, and suggested fixes. Fix the issue and re-run, or waive individual findings with justification on Team and Enterprise plans.
    Yes. Every generation produces a preview you can inspect locally — source code, tool manifests, security reports, and quality score — before you publish it. Nothing deploys automatically.
    Yes. SmeltSec integrates with GitHub, GitLab, and Bitbucket and can pull specs and push generated servers into private repos. Enterprise plans support self-hosted Git and SAML SSO for teams.

    始める準備はできましたか?

    60秒以内に最初のMCPサーバーを生成しましょう。セキュリティスキャンはすべてのプランに含まれています。

    Product

    FeaturesSecurityPricingHow It WorksDocumentation

    Resources

    Quick StartAPI ReferenceCLI ReferenceLeaderboardBlogChangelogGitHubnpm (@smeltsec/cli)npm (@smeltsec/core)

    Company

    PrivacyTerms
    SmeltSec
    © 2026 SmeltSec. Open source CLI · Proprietary SaaS.
    PrivacyTerms