Aller au contenu

Serveur BoostSecurity MCP

Qu'est-ce que le Serveur BoostSecurity MCP ?

Le Serveur MCP (Modèle-Contexte-Protocole) BoostSecurity est un garde de sécurité conçu pour les développeurs utilisant des assistants de codage AI agentiques (comme Cursor, Claude Code, VS Code Copilot, etc.).

Les systèmes AI agentiques accélèrent le développement, mais peuvent également introduire de sérieux risques de chaîne d'approvisionnement en suggérant ou en ajoutant des paquets de code tiers sans scrutin. Le serveur BoostSecurity MCP agit comme un point de contrôle intelligent pour atténuer ces risques.

Il analyse automatiquement chaque paquet qu'un agent AI tente d'introduire dans votre projet. Il inspecte le paquet pour détecter les risques avant son installation, signale les dépendances non sécurisées et peut recommander des alternatives sécurisées et maintenues. Il agit également comme un agent de sécurité proactif, vous informant des problèmes de sécurité existants dans votre dépôt lorsqu'il est interrogé.

Sa fonction principale est exposée via l'outil validate_package, qui vérifie si un paquet donné est sûr à utiliser.

🛡️ Pourquoi l'utiliser ? Le problème & la solution

Le problème : AI agentique et risque de chaîne d'approvisionnement

Les agents de codage AI sont puissants, mais ils ne comprennent pas intrinsèquement la sécurité de la chaîne d'approvisionnement logicielle. Sans mesures de protection, ils peuvent facilement introduire des paquets qui :

  • Contiennent des logiciels malveillants : Du code malveillant caché dans un paquet apparemment utile.
  • Ont des vulnérabilités connues : Contiennent des problèmes de gravité élevée ou critique (CVE) que les attaquants peuvent exploiter.
  • Sont des "typosquats" : Immitent des bibliothèques légitimes pour tromper les utilisateurs (ex. : reqeusts au lieu de requests).
  • Sont en fin de vie (EOL) : Ne sont plus maintenus ou supportés, ce qui signifie que les failles de sécurité ne seront pas corrigées.
  • Sont des "hallucinations" : N'existent pas réellement dans le registre de paquets.

La solution : Un garde de sécurité

Le serveur BoostSecurity MCP s'intègre directement à votre assistant AI pour éliminer ces risques à la source.

Principaux avantages :

  • Bloquer les paquets dangereux : Empêche automatiquement l'introduction de dépendances malveillantes, vulnérables ou EOL.
  • Vérifier la santé des paquets : Confirme que les dépendances sont légitimes, activement maintenues et supportées.
  • Obtenez des alternatives plus sûres : Lorsqu'un risque est détecté, le serveur fournit des recommandations pour des alternatives sécurisées ou des versions corrigées.
  • Réduire le risque de chaîne d'approvisionnement : Renforce par défaut votre chaîne d'approvisionnement logicielle.
  • Innover en toute confiance : Permet à votre équipe de tirer pleinement parti de la vitesse de l'AI agentique sans compromettre la sécurité.
  • Simple & gratuit : Aucune création de compte n'est requise pour utiliser le serveur.

Comment l'utiliser : Installation & configuration

Utiliser le serveur implique deux étapes :

  1. Installation : Connecter votre client compatible MCP (votre assistant/éditeur AI) à l'endpoint du serveur BoostSecurity.
  2. Utilisation : Inviter votre agent AI à utiliser l'outil de validation (ou le laisser le faire automatiquement).

Langues et écosystèmes pris en charge

  • Python : PyPI
  • Go : Go Modules
  • JavaScript/TypeScript : npm
  • Java : Maven
  • C# : NuGet

Exigences

Un client conforme à MCP, tel que :

  • Cursor
  • Claude Code
  • Windsurf
  • VS Code (avec extension MCP)

Guides de configuration spécifiques au client

Suivez les instructions pour votre éditeur ou assistant AI spécifique.

Cursor

  1. Allez à : Settings -> Cursor Settings -> MCP -> Add new global MCP server

  2. Ajoutez la configuration de connexion de serveur distant suivante :

    {
   "mcpServers": {
    "boost-security": {
      "url": "https://mcp.boostsecurity.io/mcp",
        "transport": "http"
    }
  }
}

  3. Une fois configuré, vérifiez sous Cursor Settings -> MCP & Integrations que l'outil BoostSecurity MCP est activé pour validate_package.

Claude Code

  1. Exécutez la commande suivante dans votre terminal :

    claude mcp add --scope user --transport http boost-security https://mcp.boostsecurity.io/mcp

  2. Pour confirmer, tapez /mcp dans l'interface de Claude Code. Le BoostSecurity MCP devrait apparaître comme activé.

Windsurf

  1. Naviguez vers Windsurf Settings -> Cascade MCP Servers.

  2. Ajoutez la configuration du serveur BoostSecurity MCP :

    {
  "mcpServers": {
    "boost-security": {
        "serverUrl": "https://mcp.boostsecurity.io/mcp"
    }
  }
}

  3. Alternative : Ajoutez cette configuration à votre fichier de config Windsurf MCP (ex. : ~/.codeium/windsurf/mcp_config.json).

  4. Relancez Windsurf.
  5. Allez à Windsurf Settings -> Manage MCPs pour confirmer que la connexion est activée et affiche l'outil validate_package.

VS Code

  1. Naviguez vers View -> Command Palette
  2. Exécutez la commande MCP: Open User Configuration.

  3. Ajoutez la configuration du serveur BoostSecurity MCP au fichier JSON :

    {
   "servers": {
    "boost-security": {
      "type": "http",
        "url": "https://mcp.boostsecurity.io/mcp"
    }
  }
}

  4. Vous devrez peut-être relancer VS Code.

  5. Une fois ajoutée, sélectionnez Start dans la configuration MCP dans le panneau MCP pour changer son état à Running.

Autres clients MCP

Le serveur BoostSecurity MCP peut être utilisé par tout client conforme à MCP qui prend en charge :

  • Type de transport : http
  • URL du serveur distant : https://mcp.boostsecurity.io/mcp

Reportez-vous à la documentation de votre client pour des instructions sur la configuration des serveurs MCP distants.

Meilleures pratiques pour une sécurité optimale

Le serveur MCP fournit de fortes instructions à l'agent AI, l'encourageant à valider les paquets. Cependant, pour des résultats plus cohérents, vous devriez également donner explicitement des instructions à votre agent AI pour qu'il utilise l'outil.

Ajoutez une règle ou une instruction dans la suggestion de système ou la configuration de votre agent AI.

Exemple d'instruction :

Utilisez toujours l'outil MCP de BoostSecurity `validate_package` pour garantir qu'un paquet est sûr avant de l'ajouter à un projet.
Utilisez les versions de paquet recommandées par BoostSecurity.

En faisant cela, vous vous assurez que l'agent considère la validation de sécurité comme une étape incontournable dans son flux de travail.

Exemple de flux de travail

  1. Développeur : "Veuillez ajouter le paquet requests pour gérer les appels API."
  2. Agent AI (vers MCP) : "Je prévois d'ajouter requests version 2.25.0. Veuillez validate_package(name='requests', version='2.25.0')."
  3. BoostSecurity MCP (vers AI) : "La validation a échoué : La version 2.25.0 a une vulnérabilité connue. Une alternative sûre est disponible. Utilisez requests version 2.31.0 ou plus récente."
  4. Agent AI (vers Développeur) : "J'ai ajouté le paquet requests. J'ai utilisé la version 2.31.0 comme recommandé par le scanner de sécurité pour éviter une vulnérabilité connue dans les versions antérieures."