« Tüm yayınlar

Security MCP: Kurum Politikalarını Kod Ajanlarına API Yapıyor

Security MCP, güvenlik politikalarını, risk bağlamını ve onaylı yolları Claude Code, Cursor gibi kod ajanlarına MCP araçları üzerinden sunan yapılandırılabilir bir sunucu.

Security MCP, kurumların güvenlik politikalarını, risk bağlamını, onaylı altyapı yollarını ve araç kayıtlarını Claude Code, Cursor, Codex gibi kodlama ajanlarına MCP protokolü üzerinden sunan hafif bir sunucu. Projenin çıkış noktası basit: artık kodu büyük ölçüde ajanlar yazıyor, dolayısıyla güvenlik ekiplerinin insan davranışını değiştirmek yerine modelin bağlamını programlayabilmesi gerekiyor. Sunucu bu bağlamı, ajanın döngüsünün her adımında çağırabileceği bir API'ye dönüştürüyor.

Yapılandırma dosyasındaki her koleksiyon (policy_tool, risk_index, paved_road_tool, tool_registry) dosya, HTTP servisi, GitHub deposu, başka bir MCP sunucusu veya imzalı OPA bundle gibi kaynaklardan beslenebiliyor; isimler ve kapsam tamamen kullanıcıya bırakılmış, yani ekipler runbook, ADR ya da tasarım sistemi dokümanlarını da aynı mekanizmayla ajanlara sunabiliyor. tool_registry ise conftest gibi komutları veya harici HTTP uç noktalarını doğrudan çağrılabilir araçlar olarak tanımlamaya izin veriyor.

CLI; init, validate, doctor, lint ve serve gibi alt komutlarla yapılandırmayı doğrulama, kaynakların erişilebilirliğini test etme ve sunucuyu stdio veya HTTP üzerinden çalıştırma imkânı sunuyor. Docker imajı önceden yapılandırılmış GitHub entegrasyonuyla geliyor, gh tabanlı bir launcher token yönetimini kolaylaştırıyor ve her araç çağrısı, argümanları hash'leyerek PII sızıntısını önleyen JSONL denetim kaydına yazılıyor. Bu yaklaşım, platform ve güvenlik ekipleri için ajan tabanlı geliştirme süreçlerinde politika uyumluluğunu otomatikleştirmenin somut bir yolunu gösteriyor.

» KaynakHashnode #10