🚀 MCP 合规项目
本项目专注于合规性,提供命令行工具与 MCP 服务器,方便代理与合规数据进行交互,助力用户高效达成合规目标。
🚀 快速开始
为了最快的设置,您可以按照以下步骤操作:
# 创建MCP合规二进制文件目录
mkdir -p ~/.mcp-compliance/bin
# 添加到您的PATH环境变量(将其添加到.bashrc或.zshrc以持久化)
export PATH=$PATH:~/.mcp-compliance/bin
# 克隆仓库
git clone https://github.com/grafana/hackathon-12-mcp-compliance.git
cd hackathon-12-mcp-compliance
# 构建并在本地部署
make deploy-local
现在您可以配置您的代理(游标或Claude桌面)以使用MCP合规服务器。请参阅入门指南了解配置详细信息。
✨ 主要特性
联邦风险与授权管理计划(FedRAMP)合规性MCP服务器支持用户在整个合规旅程中的三个主要阶段:
- 理解 - 学习安全控制、其要求以及它们如何适用于您的系统。
- 实施 - 设计并实现在系统中满足合规性要求的控制措施。
- 证据收集 - 收集和记录证据以证明对控制的合规性。
该项目提供了处理FedRAMP合规数据的工具,包括:
- 命令行工具,用于处理和查询FedRAMP基线数据。
- 一个MCP服务器,将合规数据提供给大语言模型(LLM)代理。
📚 详细文档
- 入门指南 - 设置和使用项目的说明。
- 操作概念 - 系统架构和数据流的详细解释。
💻 使用示例
基础用法
MCP服务器为LLM代理提供了以下工具:
# 获取特定控制的详细信息
get_control
# 获取特定家族中的所有控制
get_control_family
# 列出程序中的所有控制家族
list_control_families
# 按关键字搜索控制
search_controls
# 获取特定控制的证据详细指导
get_control_evidence_guidance
🔧 技术细节
路线图
目前该项目缺少证据收集自动化功能。需要一种安全地在共享位置存储可能敏感的数据的方式,并提供适当的访问控制列表(ACL)和数据保护机制。这是计划在未来黑客马拉松或其他路线图时间中添加的功能。
数据源
FedRAMP基线文件源自官方GSA FedRAMP自动化GitHub仓库: