shield_lock
JinDaGe
Back to MCP directory
publicPublicdnsLocal runtime

hackathon-12-mcp-compliance

该项目为FedRAMP合规提供CLI工具和MCP服务器,帮助用户完成理解、实施和证明合规的三个阶段,支持LLM代理查询合规数据。

article

README

🚀 MCP 合规项目

本项目专注于合规性,提供命令行工具与 MCP 服务器,方便代理与合规数据进行交互,助力用户高效达成合规目标。

🚀 快速开始

为了最快的设置,您可以按照以下步骤操作:

# 创建MCP合规二进制文件目录
mkdir -p ~/.mcp-compliance/bin

# 添加到您的PATH环境变量(将其添加到.bashrc或.zshrc以持久化)
export PATH=$PATH:~/.mcp-compliance/bin

# 克隆仓库
git clone https://github.com/grafana/hackathon-12-mcp-compliance.git
cd hackathon-12-mcp-compliance

# 构建并在本地部署
make deploy-local

现在您可以配置您的代理(游标或Claude桌面)以使用MCP合规服务器。请参阅入门指南了解配置详细信息。

✨ 主要特性

联邦风险与授权管理计划(FedRAMP)合规性MCP服务器支持用户在整个合规旅程中的三个主要阶段:

  1. 理解 - 学习安全控制、其要求以及它们如何适用于您的系统。
  2. 实施 - 设计并实现在系统中满足合规性要求的控制措施。
  3. 证据收集 - 收集和记录证据以证明对控制的合规性。

该项目提供了处理FedRAMP合规数据的工具,包括:

  1. 命令行工具,用于处理和查询FedRAMP基线数据。
  2. 一个MCP服务器,将合规数据提供给大语言模型(LLM)代理。

📚 详细文档

💻 使用示例

基础用法

MCP服务器为LLM代理提供了以下工具:

# 获取特定控制的详细信息
get_control

# 获取特定家族中的所有控制
get_control_family

# 列出程序中的所有控制家族
list_control_families

# 按关键字搜索控制
search_controls

# 获取特定控制的证据详细指导
get_control_evidence_guidance

🔧 技术细节

路线图

目前该项目缺少证据收集自动化功能。需要一种安全地在共享位置存储可能敏感的数据的方式,并提供适当的访问控制列表(ACL)和数据保护机制。这是计划在未来黑客马拉松或其他路线图时间中添加的功能。

数据源

FedRAMP基线文件源自官方GSA FedRAMP自动化GitHub仓库:

help

Runtime guide

cloud

Hosted runtime

Hosted servers run from a provider-managed environment. You usually connect the MCP client to the hosted endpoint or follow the provider's authorization flow, without keeping a local process alive

  1. Open provider connection page
  2. Authorize or copy endpoint
  3. Connect from your MCP client
terminal

Local runtime / other methods

Local servers run on your own machine or infrastructure. You normally copy the server_config into your MCP client, install the required package, and provide env variables from env_schema when needed

  1. Copy server_config
  2. Install required package
  3. Fill env variables and restart client