/ Directorio / Playground / repo-forensics
← Todos los servidores ↗ GitHub
● Comunidad alexgreensh ⚡ Instantáneo

repo-forensics

por alexgreensh · alexgreensh/repo-forensics

18 escáneres defensivos que validan un repositorio, skill, servidor MCP o plugin para detectar inyecciones de prompts, secretos, hooks del ciclo de vida, suplantación de nombres y rastros de manipulación antes de instalar.

Repo-forensics es una herramienta de auditoría defensiva diseñada para el problema del 'nadie lo hace': validar código de terceros antes de instalarlo con acceso completo del sistema. 18 escáneres paralelos cubren dinamismo en tiempo de ejecución, desviación de manifiestos, inyecciones de prompts en SKILL.md, envenenamiento de herramientas MCP, DAST de scripts de hooks, secretos, SAST, análisis AST, suplantación de nombres de dependencias, hooks del ciclo de vida, payloads de entropía, configuraciones incorrectas de IaC, disfraces binarios, rastros post-incidente y suplantación de commits de git. Cero dependencias.

▶ Ver demo 📦 Instalar 💡 Casos de uso

Por qué usarlo

Características clave

Demo en vivo

Cómo se ve en la práctica

repo-forensics-skill.replay ▶ listo
0/0

Instalar

Elige tu cliente

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "repo-forensics-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/alexgreensh/repo-forensics",
        "~/.claude/skills/repo-forensics"
      ],
      "_inferred": true
    }
  }
}

Abre Claude Desktop → Settings → Developer → Edit Config. Reinicia después de guardar.

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "repo-forensics-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/alexgreensh/repo-forensics",
        "~/.claude/skills/repo-forensics"
      ],
      "_inferred": true
    }
  }
}

Cursor usa el mismo esquema mcpServers que Claude Desktop. La configuración del proyecto prevalece sobre la global.

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "repo-forensics-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/alexgreensh/repo-forensics",
        "~/.claude/skills/repo-forensics"
      ],
      "_inferred": true
    }
  }
}

Haz clic en el icono MCP Servers de la barra lateral de Cline y luego en "Edit Configuration".

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "repo-forensics-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/alexgreensh/repo-forensics",
        "~/.claude/skills/repo-forensics"
      ],
      "_inferred": true
    }
  }
}

Mismo formato que Claude Desktop. Reinicia Windsurf para aplicar.

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "repo-forensics-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/alexgreensh/repo-forensics",
        "~/.claude/skills/repo-forensics"
      ]
    }
  ]
}

Continue usa un array de objetos de servidor en lugar de un mapa.

~/.config/zed/settings.json
{
  "context_servers": {
    "repo-forensics-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/alexgreensh/repo-forensics",
          "~/.claude/skills/repo-forensics"
        ]
      }
    }
  }
}

Añádelo a context_servers. Zed recarga en caliente al guardar.

claude mcp add repo-forensics-skill -- git clone https://github.com/alexgreensh/repo-forensics ~/.claude/skills/repo-forensics

Un solo comando. Verifica con claude mcp list. Quita con claude mcp remove.

Casos de uso

Usos del mundo real: repo-forensics

Auditar un skill de terceros antes de clonarlo en ~/.claude/skills

👤 Cualquiera que instale skills de extraños en GitHub ⏱ ~15 min beginner

Cuándo usarlo: Alguien te envió un enlace de skill que se ve bien. Antes de clonar, quieres saber si es seguro.

Requisitos previos
  • repo-forensics instalado — git clone https://github.com/alexgreensh/repo-forensics ~/.claude/skills/repo-forensics
Flujo
  1. Apunta a la URL del repositorio objetivo
    Usa repo-forensics. Escanea https://github.com/<author>/<skill> con los escáneres skill_threats, secrets, dataflow y lifecycle. Reporta hallazgos.✓ Copiado
    → Reporte por escáner con banderas de gravedad
  2. Lee hallazgos correlacionados
    ¿Hay correlaciones entre escáneres — p.ej. una ruta de fuga de secreto más un hook del ciclo de vida?✓ Copiado
    → Resumen de correlación

Resultado: Una decisión de proceder o no proceder basada en la salida del escáner, no en intuiciones.

Errores comunes
  • Confiar en un escaneo verde como prueba completa de seguridad — Los escáneres son un piso sólido, no un techo — aún así lee SKILL.md
Combinar con: github · filesystem

Auditar un servidor MCP para detectar envenenamiento de herramientas y patrones de rug-pull

👤 Equipos incorporando un MCP nuevo a una pila de agentes de producción ⏱ ~20 min intermediate

Cuándo usarlo: Antes de agregar un nuevo servidor MCP a un agente con permisos reales.

Flujo
  1. Ejecuta escáneres enfocados en MCP
    Escanea este repositorio de servidor MCP con mcp_security, skill_threats, integrity y dast.✓ Copiado
    → Hallazgos enfocados en descripciones de herramientas y scripts de instalación
  2. Verifica el historial de git para suplantación de identidad
    Ejecuta git_forensics en el mismo repositorio — ¿hay commits suplantados?✓ Copiado
    → Análisis de autor / firma

Resultado: Un expediente de seguridad de MCP antes de conectarlo a tu agente.

Ejecuta escáneres post-incidente después de una instalación sospechosa

👤 Cualquiera que acaba de ejecutar npm/pip install y se siente incómodo ⏱ ~15 min intermediate

Cuándo usarlo: La instalación terminó con comportamiento inesperado; quieres saber si algo se instaló.

Flujo
  1. Ejecuta escaneos post_incident + entropy
    Ejecuta el escáner post_incident en ~/.npm y en el proyecto actual. También escanea la entropía de los paquetes instalados.✓ Copiado
    → Banderas para artefactos en caché sospechosos o payloads codificados

Resultado: Evidencia de si rotar secretos y reconstruir.

Errores comunes
  • Ejecutar escaneos desde el shell potencialmente comprometido — Ejecuta desde un shell nuevo u otra máquina en caso de duda

Combinaciones

Combínalo con otros MCPs para multiplicar por 10

repo-forensics-skill + github

Obtén el diff de un PR y escanea solo los archivos agregados

Obtén PR #123 y ejecuta repo-forensics solo en los archivos que agrega.✓ Copiado
repo-forensics-skill + filesystem

Escanea un repositorio clonado localmente y guarda un reporte JSON

Escanea ./suspicious-repo y escribe findings.json junto a él.✓ Copiado

Herramientas

Lo que expone este MCP

HerramientaEntradasCuándo llamarCoste
skill_threats ruta del repositorio Cualquier auditoría de skill 0
mcp_security ruta del repositorio Auditorías de MCP 0
secrets ruta del repositorio Siempre 0
dataflow ruta del repositorio Preocupaciones de egreso sospechoso 0
lifecycle ruta del repositorio Pre-instalación 0
git_forensics ruta del repositorio Verificando identidad del mantenedor 0
entropy ruta del repositorio Se sospecha ofuscación 0
sast ruta del repositorio Riesgo general de código 0

Coste y límites

Lo que cuesta ejecutarlo

Cuota de API
Ninguno
Tokens por llamada
Moderado — la síntesis de la salida del escáner puede crecer
Monetario
Gratuito
Consejo
Ejecuta solo los escáneres relevantes para el modelo de amenaza (skills → skill_threats; MCP → mcp_security)

Seguridad

Permisos, secretos, alcance

Almacenamiento de credenciales: Ninguno — el escáner es de solo lectura
Salida de datos: Solo local por defecto
No conceder nunca: Acceso de escritura al repositorio bajo auditoría

Resolución de problemas

Errores comunes y soluciones

El escáner reporta 0 hallazgos en un repositorio obviamente sospechoso

Asegúrate de que ejecutaste contra la ruta completa del repositorio, no un subconjunto; verifica la selección del escáner

Verificar: repo-forensics list-scanners
Los falsos positivos inundan el reporte

Filtra por gravedad; enfócate en alto/crítico; usa correlación para priorizar

Alternativas

repo-forensics vs otros

AlternativaCuándo usarlaContrapartida
claude-cybersecurityTu código necesita una revisión de seguridad de aplicaciones estilo OWASP en lugar de validación de cadena de suministroEnfoque diferente — lógica de aplicación vs amenazas de tiempo de instalación
gitleaks / trufflehogSolo necesitas escaneo de secretosEscáner único, sin correlación

Más

Recursos

📖 Lee el README oficial en GitHub

🐙 Ver issues abiertas

🔍 Ver todos los 400+ servidores MCP y Skills