Aller au contenu

Serveur Boost Security MCP

Qu'est-ce que le Serveur Boost Security MCP ?

Le Serveur MCP (Modèle-Contexte-Protocole) Boost Security est un garde de sécurité conçu pour les développeurs utilisant des assistants de codage AI agentiques (comme Cursor, Claude Code, VS Code Copilot, etc.).

Les systèmes AI agentiques accélèrent le développement, mais peuvent également introduire de sérieux risques de chaîne d'approvisionnement en suggérant ou en ajoutant des paquets de code tiers sans scrutin. Le serveur Boost Security MCP agit comme un point de contrôle intelligent pour atténuer ces risques.

Il analyse automatiquement chaque paquet qu'un agent AI tente d'introduire dans votre projet. Il inspecte le paquet pour détecter les risques avant son installation, signale les dépendances non sécurisées et peut recommander des alternatives sécurisées et maintenues. Il agit également comme un agent de sécurité proactif, vous informant des problèmes de sécurité existants dans votre dépôt lorsqu'il est interrogé.

Sa fonction principale est exposée via l'outil validate_package, qui vérifie si un paquet donné est sûr à utiliser, et l'interaction directe avec votre backlog de risques priorisés de l'équipe de sécurité via une connectivité API authentifiée avec Boost Security.

Référentiel et connectivité API

En plus de la validation des paquets via validate_package, le serveur Boost Security MCP fournit trois capacités supplémentaires via la connectivité API :

  • get_finding – Récupérer des résultats de sécurité spécifiques de votre dépôt
  • get_violations – Interroger toutes les violations de sécurité dans votre base de code
  • get_violations_by_package – Analyser les violations associées à des paquets spécifiques

Cela permet à votre agent AI de : - Interroger les problèmes de sécurité dans votre dépôt actuel - Analyser les dépendances existantes pour détecter les vulnérabilités, l'état de maintenance, etc. - Fournir du code de remédiation de vulnérabilités SAST contextuel directement dans votre IDE

Cette fonctionnalité est accessible en configurant une clé API en lecture seule depuis votre compte Boost Security. L'outil de connectivité API permet à votre agent AI d'interroger la posture de sécurité de votre dépôt, d'analyser les dépendances et de recevoir des remédies contextuelles, le tout sans quitter votre IDE.

Comment activer la connectivité API

  1. Naviguez vers la page des paramètres et cliquez sur Clés d'application.

  2. Générer une clé API en lecture seule en entrant le nom de la clé et en lui attribuant un rôle de Visualiseur.

    • Ces clés fournissent un accès en lecture uniquement — aucune modification possible.

    Note

    La clé API doit être générée par un administrateur Boost de votre organisation.

  3. Configurez la clé dans votre client MCP (c'est-à-dire Claude Code, Windsurf, VS Code, etc.) :

  4. Pour la plupart des clients, ajoutez-la en tant que variable d'environnement, header, ou dans la configuration du serveur MCP (ex. : BOOST_API_KEY=your_read_only_key).
  5. Certains clients peuvent vous le demander lors de la première utilisation de l'outil.
  6. Une fois configuré, votre agent AI peut utiliser l'outil de connectivité automatiquement ou lorsque sollicité (ex. : "Analysez mon dépôt pour des problèmes de sécurité").

Remarque : L'outil validate_package fonctionne sans clé API (accès public/anonyme). Les fonctionnalités de connectivité API nécessitent une clé pour un accès authentifié à vos résultats Boost Security et à l'analyse des risques de code.

🛡️ Pourquoi l'utiliser ? Le problème & la solution

Le problème : AI agentique et risque de chaîne d'approvisionnement

Les agents de codage AI sont puissants, mais ils ne comprennent pas intrinsèquement la sécurité de la chaîne d'approvisionnement logicielle. Sans mesures de protection, ils peuvent facilement introduire des paquets qui :

  • Contiennent des logiciels malveillants : Du code malveillant caché dans un paquet apparemment utile.
  • Ont des vulnérabilités connues : Contiennent des problèmes de gravité élevée ou critique (CVE) que les attaquants peuvent exploiter.
  • Sont des "typosquats" : Imitent des bibliothèques légitimes pour tromper les utilisateurs (ex. : reqeusts au lieu de requests).
  • Sont en fin de vie (EOL) : Ne sont plus maintenus ou supportés, ce qui signifie que les failles de sécurité ne seront pas corrigées.
  • Sont des "hallucinations" : N'existent pas réellement dans le registre de paquets.

La solution : Un garde de sécurité

Le serveur Boost Security MCP s'intègre directement à votre assistant AI pour éliminer ces risques à la source.

Principaux avantages :

  • Bloquer les paquets dangereux : Empêche automatiquement l'introduction de dépendances malveillantes, vulnérables ou EOL.
  • Vérifier la santé des paquets : Confirme que les dépendances sont légitimes, activement maintenues et supportées.
  • Obtenez des alternatives plus sûres : Lorsqu'un risque est détecté, le serveur fournit des recommandations pour des alternatives sécurisées ou des versions corrigées.
  • Réduire le risque de chaîne d'approvisionnement : Renforce par défaut votre chaîne d'approvisionnement logicielle.
  • Innover en toute confiance : Permet à votre équipe de tirer pleinement parti de la vitesse de l'AI agentique sans compromettre la sécurité.
  • Simple & gratuit : Aucune création de compte n'est requise pour utiliser le serveur.

Comment l'utiliser : Installation & configuration

Utiliser le serveur implique deux étapes :

  1. Installation : Connecter votre client compatible MCP (votre assistant/éditeur AI) à l'endpoint du serveur Boost Security.
  2. Utilisation : Inviter votre agent AI à utiliser l'outil de validation (ou le laisser le faire automatiquement).

Langues et écosystèmes pris en charge

  • Python : PyPI
  • Go : Go Modules
  • JavaScript/TypeScript : npm
  • Java : Maven
  • C# : NuGet

Exigences

Un client conforme à MCP, tel que :

  • Cursor
  • Claude Code
  • Windsurf
  • VS Code (avec extension MCP)

Guides de configuration spécifiques au client

Suivez les instructions pour votre éditeur ou assistant AI spécifique.

Cursor

  1. Allez à : Settings -> Cursor Settings -> MCP -> Add new global MCP server

  2. Ajoutez la configuration de connexion de serveur distant suivante :

    {
   "mcpServers": {
    "boost-security": {
      "url": "https://mcp.boostsecurity.io/mcp",
        "transport": "http"
    }
  }
}

  3. Une fois configuré, vérifiez sous Cursor Settings -> MCP & Integrations que l'outil Boost Security MCP est activé pour validate_package.

Claude Code

  1. Exécutez la commande suivante dans votre terminal :

    claude mcp add --scope user --transport http boost-security https://mcp.boostsecurity.io/mcp

  2. Pour confirmer, tapez /mcp dans l'interface de Claude Code. Le Boost Security MCP devrait apparaître comme activé.

Windsurf

  1. Naviguez vers Windsurf Settings -> Cascade MCP Servers.

  2. Ajoutez la configuration du serveur Boost Security MCP :

    {
  "mcpServers": {
    "boost-security": {
        "serverUrl": "https://mcp.boostsecurity.io/mcp"
    }
  }
}

  3. Alternative : Ajoutez cette configuration à votre fichier de config Windsurf MCP (ex. : ~/.codeium/windsurf/mcp_config.json).

  4. Relancez Windsurf.
  5. Allez à Windsurf Settings -> Manage MCPs pour confirmer que la connexion est activée et affiche l'outil validate_package.

VS Code

  1. Naviguez vers View -> Command Palette
  2. Exécutez la commande MCP: Open User Configuration.

  3. Ajoutez la configuration du serveur Boost Security MCP au fichier JSON :

    {
   "servers": {
    "boost-security": {
      "type": "http",
        "url": "https://mcp.boostsecurity.io/mcp"
    }
  }
}

  4. Vous devrez peut-être relancer VS Code.

  5. Une fois ajoutée, sélectionnez Start dans la configuration MCP dans le panneau MCP pour changer son état à Running.

Autres clients MCP

Le serveur Boost Security MCP peut être utilisé par tout client conforme à MCP qui prend en charge :

  • Type de transport : http
  • URL du serveur distant : https://mcp.boostsecurity.io/mcp

Reportez-vous à la documentation de votre client pour des instructions sur la configuration des serveurs MCP distants.

Meilleures pratiques pour une sécurité optimale

Le serveur MCP fournit de fortes instructions à l'agent AI, l'encourageant à valider les paquets. Cependant, pour des résultats plus cohérents, vous devriez également donner explicitement des instructions à votre agent AI pour qu'il utilise l'outil.

Ajoutez une règle ou une instruction dans la suggestion de système ou la configuration de votre agent AI.

Exemple d'instruction :

Utilisez toujours l'outil MCP de Boost Security `validate_package` pour garantir qu'un paquet est sûr avant de l'ajouter à un projet.
Utilisez les versions de paquet recommandées par Boost Security.

En faisant cela, vous vous assurez que l'agent considère la validation de sécurité comme une étape incontournable dans son processus de développement.

Exemple de processus

  1. Développeur : "Veuillez ajouter le paquet requests pour gérer les appels API."
  2. Agent AI (vers MCP) : "Je prévois d'ajouter requests version 2.25.0. Veuillez validate_package(name='requests', version='2.25.0')."
  3. Boost Security MCP (vers AI) : "La validation a échoué : La version 2.25.0 a une vulnérabilité connue. Une alternative sûre est disponible. Utilisez requests version 2.31.0 ou plus récente."
  4. Agent AI (vers Développeur) : "J'ai ajouté le paquet requests. J'ai utilisé la version 2.31.0 comme recommandé par l'analyseur de sécurité pour éviter une vulnérabilité connue dans les versions antérieures."