agent-bom registry

🔍 MCP服务器安全注册表与信任评估

MCP服务器安全元数据注册表,支持427+服务器信任评估、批量风险评分及SAST代码扫描,零凭证本地运行

收藏
6.7k
安装
2.6k
版本
0.90.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

agent-bom-registry 是一款专为 MCP(Model Context Protocol)服务器生态设计的安全注册表与信任评估工具。它内置 427+ 个 MCP 服务器的安全元数据,支持以下核心功能:

1. 注册表查询(`registry_lookup`):通过内存字符串匹配查找已知服务器的安全档案,无需网络请求
2. 市场预安装检查(`marketplace_check`):安装前交叉验证注册表,识别潜在风险

3. 批量舰队扫描(`fleet_scan`):对多个 MCP 服务器进行批量风险评分

4. 技能文件分析(`skill_scan` / `skill_trust`):解析 SKILL.md 文件,提取包引用并评估 5 级信任分类

5. 代码安全扫描(`code_scan`):通过 Semgrep 执行 SAST 扫描,映射 CWE 合规性

6. 来源验证(`skill_verify`):验证 Sigstore 来源证明

显著优点

  • 零信任架构:无需 API 密钥或网络访问,注册表数据完全本地捆绑
  • 高测试覆盖:7,100+ 测试用例,集成 CodeQL 与 OpenSSF Scorecard
  • 隐私优先:无遥测、无分析、无持久化存储
  • 供应链安全:支持 Sigstore 来源验证,防范篡改攻击
  • 批量效率:适合企业级 MCP 服务器舰队安全治理

潜在缺点与局限性

  • 可选依赖较重:SAST 功能需要额外安装 Semgrep
  • 注册表覆盖有限:427+ 服务器虽涵盖主流项目,但长尾 MCP 服务器可能缺失
  • 无实时威胁情报:本地捆绑数据非实时更新,需定期更新包版本
  • SNYK 增强需令牌:漏洞丰富功能依赖外部 API,需 SNYK_TOKEN
  • Python 版本门槛:要求 Python 3.11+

适合人群

  • AI 安全工程师:需审计 MCP 服务器供应链风险的团队
  • 平台治理团队:管理大规模 MCP 服务器舰队的企业
  • 开源审计者:验证第三方技能文件来源与信任等级的个人开发者
  • 合规从业者:需 CWE 映射报告满足安全合规要求的组织

常规风险

  • 注册表滞后风险:捆绑数据可能未及时收录最新漏洞
  • 可选凭证泄漏:SNYK_TOKEN 若配置不当可能意外暴露
  • 误报可能:SAST 规则集的 CWE 映射可能产生误报,需人工复核
  • 信任评估局限:5 级分类基于静态元数据,无法覆盖运行时行为分析

agent-bom registry 内容

手动下载zip · 3.3 kB
skill-card.mdtext/markdown
请选择文件