mcp-trust 🛡️
Açıklanabilir Trust Score dashboard — 9.000+ Model Context Protocol server için canlı, kamuya açık veri kaynaklarından hesaplanır.
Mayıs 2026: resmi MCP registry'de 9.400+ public server var, enterprise ekiplerin %78'i üretimde MCP-backed agent kullanıyor. AgentSeal raporuna göre %66 server'ın en az bir güvenlik bulgusu var; 31 Mart 2026'da axios npm paketi hijack edildi. "Bu MCP server'ı kurmak güvenli mi?" sorusuna mcp-trust 6 sinyal kategorisinde açıklanabilir cevap veriyor.
## Özellikler
- 6 sinyal kategorisi: Maintenance · Popularity · Transparency · Provenance · Footprint · Risk markers
- A-F grade rozetleri: Yeşilden kırmızıya, her server için anlık görsel trust seviyesi
- Detail drawer: Her sinyalin pts/max barı, etiket, "neden" açıklaması, repo + npm + PyPI linkleri
- Filtre + arama: İsim/açıklama, grade, kategori, kaynak (npm/PyPI/remote/GitHub), stale toggle
- Manuel refresh: Public POST endpoint'leri — kimlik doğrulama yok (60 sn cooldown)
- Bilinen incidents: Kuratoryal kamuya açık güvenlik vakaları (axios npm hijack, MCP design flaw)
Veri Kaynakları (gerçek, canlı)
| Kaynak | URL | Refresh |
|---|---|---|
| Resmi MCP Registry | https://registry.modelcontextprotocol.io/v0/servers | her 4 saat |
| GitHub REST API | https://api.github.com/repos/{owner}/{repo} | her 4 saat (+30 dk) |
| npm Registry + Downloads | https://registry.npmjs.org/{pkg} + https://api.npmjs.org/downloads/point/last-week/{pkg} | her 4 saat (+30 dk) |
| PyPI JSON API | https://pypi.org/pypi/{pkg}/json | her 4 saat (+30 dk) |
MOCK / RANDOM / SEED YOK. Tek server kaydı bile hardcoded değildir; her sayı (yıldız, indirme, dependency count, unpacked size, lisans) canlı API çağrısından gelir. DB boşsa UI "Veri yüklenemedi" gösterir; sahte veri üretmez.
seeds/incidents.json veri değildir — kamuya açık güvenlik vakalarının (axios hijack 2026-03-31, MCP design flaw 2026-04-16, AgentSeal taraması, DEV state-of-MCP-security raporu) referans URL'lerine bağlı listesidir. Her satır kontrol edilebilir bir kamuya açık rapora linklenir.
Kurulum
npm install
cp .env.example .env
# (opsiyonel) GITHUB_TOKEN ekleyin → 60/h yerine 5000/h GitHub rate limit
node server.js
→ http://127.0.0.1:4731/mcp-trust/ adresinde dashboard açılır.
Endpoint'ler (HEPSİ public — auth yok)
| Method | Path | |
|---|---|---|
| GET | /mcp-trust/health | {ok, server_count, last_registry_refresh} |
| GET | /mcp-trust/api/servers | Filtre + sayfa (q, grade, category, source, stale, sort, limit, offset) |
| GET | /mcp-trust/api/servers/:name | Tek server detayı (signals + flags) |
| GET | /mcp-trust/api/stats | Dağılım, top movers, son refresh |
| GET | /mcp-trust/api/incidents | Bilinen güvenlik vakaları |
| GET | /mcp-trust/api/refresh/log | Son N refresh (default 30) |
| POST | /mcp-trust/api/refresh/registry | Registry'i fetch et (queued) |
| POST | /mcp-trust/api/refresh/enrich | GitHub + npm + PyPI enrichment + rescore |
| POST | /mcp-trust/api/refresh/score | Sadece skoru yeniden hesapla |
Trust Score Formülü
| Bileşen | Max | Hesaplama |
|---|---|---|
| Maintenance | 25 | min(days since: published_at, gh_pushed_at, npm_modified, pypi_modified) → ≤14g:25, ≤45g:20, ≤90g:13, ≤180g:6, >180g:0 |
| Popularity | 20 | clamp(log10(stars+1) × 3.5, 0, 15) + clamp(log10(weekly_downloads+1) × 0.9, 0, 5) |
| Transparency | 20 | repo URL (5) + lisans non-NOASSERTION (4) + description ≥30ch (4) + websiteUrl (3) + repo size ≥30KB (4) |
| Provenance | 15 | registry status=active (5) + isLatest (3) + npm.repo_url ↔ gh.repo eşleşmesi (4) + namespace eşleşmesi (3) |
| Footprint | 10 | dep_count ≤10:5/≤20:3/>20:0 + unpacked_size <500KB:5/<2MB:3/≥2MB:0; remote-only=7 default |
| Risk | 10 | 10'dan başla, deduct: archived (-10), disabled (-10), issues > 5×stars (-3), 0.0.x stale (-3), riskli desc kelimeleri (-2), incident match (-10) |
→ Grade: A≥85, B≥70, C≥50, D≥30, F<30.
## Stack
- Node.js 20+ · Express 4 · better-sqlite3 (WAL mode) · node-cron · helmet · compression · cors
- Vanilla JS SPA (build step yok), dark theme, Türkçe UI
## Lisans
MIT.
## Yazar
Cowork (Claude Opus 4.7) — Holy AI R&D pipeline · v1.0.0