金大哥 - security-controls-mcp MCP 详情

article

README

🚀 安全控制MCP服务器

这是一款用于安全框架映射的权威MCP服务器，可让跨262个SCF映射框架的1451项安全控制实现可搜索，并能通过Claude、Cursor或任何MCP兼容客户端进行AI访问。

🚀 快速开始

远程使用（无需安装）

直接连接到托管版本 — 零依赖，无需安装任何东西。

端点：https://security-controls-mcp.vercel.app/mcp

| 客户端 | 连接方式 | | -------------- | -------------------------------------------------------------- | | Claude.ai | 设置 > 连接器 > 添加集成 > 粘贴URL | | Claude Code | claude mcp add security-controls --transport http https://security-controls-mcp.vercel.app/mcp | | Claude桌面版 | 添加到配置文件（见下文） | | GitHub Copilot | 添加到VS Code设置（见下文） |

Claude桌面版 — 添加到 claude_desktop_config.json：

{
  "mcpServers": {
    "security-controls": {
      "type": "url",
      "url": "https://security-controls-mcp.vercel.app/mcp"
    }
  }
}

GitHub Copilot — 添加到VS Code settings.json：

{
  "github.copilot.chat.mcp.servers": {
    "security-controls": {
      "type": "http",
      "url": "https://security-controls-mcp.vercel.app/mcp"
    }
  }
}

本地使用（npm）

pipx install security-controls-mcp

Claude桌面版 — 添加到 claude_desktop_config.json：

macOS：~/Library/Application Support/Claude/claude_desktop_config.json
Windows：%APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "security-controls": {
      "command": "scf-mcp"
    }
  }
}

macOS用户：使用完整路径（GUI应用不会继承shell PATH）：

{
  "mcpServers": {
    "security-controls": {
      "command": "/Users/YOUR_USERNAME/.local/bin/scf-mcp"
    }
  }
}

使用 which scf-mcp 查找路径。

Cursor / VS Code：

{
  "mcp.servers": {
    "security-controls": {
      "command": "scf-mcp"
    }
  }
}

✨ 主要特性

涵盖治理、风险、合规和技术领域的1451项安全控制。
262个SCF映射框架，包括ISO 27001、NIST CSF、DORA、PCI DSS、CMMC和TIBER - EU等。
AI治理：ISO 42001、NIST AI RMF、欧盟AI法案、网络弹性法案。
通过SCF罗塞塔石碑实现框架之间的双向映射。
捆绑了BIO、KATAKRI、NSM、MSB、CFCS、CCB和ANSSI等公共国家框架配置文件。
可选择与购买的标准（ISO、NIST 800 - 53）集成以获取官方文本。
对所有控制描述进行全文搜索。
支持自然语言查询，而非特定框架ID查询。

💻 使用示例

示例查询

"GOV - 01有哪些要求？"
"搜索有关加密密钥管理的控制措施"
"ISO 27001的哪些控制措施与DORA映射？"
"列出PCI DSS合规所需的所有控制措施"
"ISO 27001 A.5.15满足哪些DORA要求？"
"展示所有与事件响应相关的NIST CSF 2.0控制措施"
新增："ISO 42001的哪些控制措施与NIST AI RMF映射？"
新增："展示高风险AI系统的欧盟AI法案要求"

📚 详细文档

可用框架（262个）

AI治理（v0.4.0新增）

ISO 42001:2023 (149) - AI管理体系
NIST AI RMF 1.0 (158) - AI风险管理框架
NIST AI 600 - 1 (139) - 生成式AI配置文件
欧盟AI法案 (119) - 法规2024/1689
欧盟网络弹性法案 (18)

核心框架

美国政府：NIST 800 - 53 R5 (777)、NIST CSF 2.0 (253)、FedRAMP R5 (423)、CMMC 2.0 (198/52)
国际标准：ISO 27001 (51)、ISO 27002 (316)、ISO 27017 (119)、ISO 27018 (70)、ISO 27701 (187)、ISO 22301 (52)
美国行业：PCI DSS v4.0.1 (364)、SOC 2 (412)、HIPAA (136)、SOX (2)
金融：SWIFT CSCF 2023 (127)、FFIEC (231)、GLBA (108)、DORA (103)
云：CSA CCM v4 (334)、德国C5 (239)

区域覆盖（50多个国家）

亚太地区：澳大利亚ISM/基本8项、新加坡MAS TRM、日本ISMAP、中国网络安全法、印度DPDPA
欧盟：GDPR (42)、NIS2 (68)、PSD2 (61)，以及20多个国家框架
美洲：美国州法律（加利福尼亚州、纽约州、得克萨斯州等）、巴西LGPD、加拿大PIPEDA
中东/非洲：沙特SAMA、阿联酋NIAF、南非POPIA

专业领域

工业/OT：IEC 62443 (197)、NERC CIP (224)、NIST 800 - 82
汽车：ISO/SAE 21434、TISAX、UN R155
医疗保健/医疗设备：HIPAA、HITRUST、CMS MARS - E、IEC 81001 - 5 - 1、IMDRF N60/N73、FDA上市前网络安全

完整的262个SCF映射框架列表请见 docs/coverage.md。

工具

核心工具

version_info() - 获取服务器版本、统计信息和顶级框架。建议首先调用此方法以了解可用数据。
list_frameworks() - 列出所有262个SCF映射框架及其控制数量。
get_control(control_id) - 获取特定SCF控制的完整详细信息，返回描述、领域、权重、PPTDF类别以及与所有262个SCF映射框架的映射关系。
search_controls(query, frameworks=[], limit=10) - 按关键字搜索控制，可选择按框架过滤，对名称和描述进行全文搜索。
get_framework_controls(framework) - 获取特定框架的所有控制，返回按领域组织的控制。
map_frameworks(source_framework, target_framework, source_control=None) - 通过SCF进行框架之间的双向映射，可选择过滤到特定源控制。

标准工具

list_available_standards() - 列出所有可用标准（SCF + 捆绑公共配置文件 + 导入的标准）。
query_standard(standard, query, limit=10) - 在捆绑公共配置文件或购买的标准中进行搜索。捆绑公共配置文件返回带有官方源链接的精选摘要，购买的标准需要先导入并返回用户副本中的条款文本。
get_clause(standard, clause_id) - 获取特定条款或部分。捆绑公共配置文件返回精选摘要部分，购买的标准需要先导入以获取官方条款文本。

捆绑公共国家配置文件

这些配置文件安装后即可立即使用，来源为官方公开出版物：

netherlands_bio - 荷兰BIO2
finland_katakri - 芬兰KATAKRI 2020
norway_nsm - 挪威NSM信息通信技术安全基本原则
sweden_msb - 瑞典MSB信息安全和事件报告配置文件
denmark_cfcs - 丹麦CFCS网络防御配置文件
belgium_ccb - 比利时网络基础（CyFun）
france_anssi - 法国ANSSI网络卫生基线

导入说明请见 PAID_STANDARDS_GUIDE.md。

添加购买的标准（可选）

导入您购买的ISO 27001、NIST SP 800 - 53或其他标准，以获取与SCF描述一起的官方文本：

# 安装导入工具
pip install security-controls-mcp[import-tools]

# 导入购买的PDF
scf-mcp-import import-standard \
  --file ~/Downloads/ISO-27001-2022.pdf \
  --type iso_27001_2022 \
  --title "ISO/IEC 27001:2022"

# 重启MCP，然后查询

您购买的内容将保存在 ~/.security-controls-mcp/ 中（不会提交到git）。完整指南：PAID_STANDARDS_GUIDE.md

🔧 技术细节

数据管道

SCF JSON → 内存索引 → MCP工具 → AI响应

关键原则

所有控制文本直接从SCF源返回，无LLM释义。
框架映射使用ComplianceForge的权威交叉引用。
可选购买的标准本地存储（不提交）。
搜索结果针对AI上下文窗口进行优化。

数据完整性

SCF版本锁定为2025.4以确保一致性。
所有映射均来自官方SCF框架交叉引用。
用户导入的标准需要有效许可证。

数据源

基于 SCF 2025.4（2025年12月29日发布）

涵盖所有领域的1451项控制。
262个SCF映射框架，具有完整的映射覆盖。
数据采用知识共享许可。
来源：ComplianceForge SCF

包含的数据文件：

scf-controls.json - 所有1451项带有框架映射的控制。
framework-to-scf.json - 用于框架到SCF查找的反向索引。

开发

分支策略

本仓库使用 dev 集成分支。请勿直接推送到 main。

功能分支 → PR到dev → 在dev上验证 → PR到main → 部署

main 为生产就绪分支，仅通过PR从 dev 合并。
dev 是集成分支，所有更改首先在此落地。
功能分支从 dev 创建。

环境设置

# 克隆并安装
git clone https://github.com/Ansvar-Systems/security-controls-mcp.git
cd security-controls-mcp
pip install -e '.[dev]'

# 安装预提交钩子
pre-commit install

# 运行测试
pytest tests/ -v

预提交钩子在每次提交前自动运行：

代码格式化（black, ruff）
代码检查（ruff check、YAML/JSON验证）
测试（pytest、冒烟测试、服务器启动）

绕过钩子（仅紧急情况）：git commit --no-verify

重要声明

⚠️ 重要提示

非法律或合规建议：控制文本直接来自官方SCF数据，但本工具不应作为合规决策的唯一依据。请始终对照官方框架来源进行验证，并咨询合格的合规专业人员。

AI内容限制：SCF许可证明确禁止使用AI系统基于SCF数据生成衍生内容，如政策、标准、程序、指标、风险或威胁。您可以查询和分析控制措施，但不得生成衍生合规工件。

购买的标准：可选标准导入需要有效许可证。您必须拥有合法副本并遵守版权限制。本工具不包含或分发任何受版权保护的标准文本。

框架覆盖：虽然SCF提供了全面的映射，但并非所有控制措施在各框架之间都能实现一对一映射。请始终查阅官方框架文档以获取权威要求。

📄 许可证

代码：采用Apache许可证2.0（详见 LICENSE）。
数据：由ComplianceForge提供的知识共享署名 - 禁止演绎4.0国际许可（CC BY - ND 4.0）。
- 来源：安全控制框架（SCF）
- 版本：SCF 2025.4（2025年12月29日）

允许的操作

查询和分析SCF控制措施。
在框架之间进行映射。
在您自己的工作中引用控制措施（需注明出处）。
使用此MCP服务器了解控制要求。

不允许的操作

使用AI基于SCF控制措施生成政策或程序。
创建衍生框架或修改版本进行分发。
删除或修改控制定义。

完整条款请见 SCF条款与条件。

security-controls-mcp