GitHub prétend fiabiliser l’accès aux serveurs MCP

Un répertoire de serveurs MCP triés sur le volet

Or trouver un serveur MCP officiel n’est pas si aisée que cela indique GitHub.

« Les serveurs MCP sont dispersés dans de nombreux registres, des dépôts aléatoires et enfouis dans des fils de discussion communautaires, ce qui rend leur découverte lente et difficile », affirme Toby Padilla, responsable produit chez GitHub, dans un mail envoyé au MagIT.

Pour pallier ce défaut, la filiale de Microsoft a lancé GitHub MCP Registry, un portail permettant de retrouver des serveurs MCP standards pour des bases de données et outils fournis par Azure, MongoDB, Elasticsearch, Neon (Databricks), Sentry, Atlassian, JFrog, Notion, HashiCorp Terraform ou encore Dynatrace. Au total, la page rassemble 43 serveurs MCP, dont celui de GitHub, récemment entré en disponibilité générale.

« La plupart des serveurs MCP résident déjà sur GitHub, donc l’introduction d’un registre MCP dédié au sein de notre plateforme crée un environnement centralisé et fiable pour les découvrir, les explorer et les utiliser », justifie Toby Padilla. « Ce registre simplifie l’expérience des développeurs, en améliorant la sécurité grâce à la vérification de la paternité et en accélérant l’adoption de flux de travail agentiques ».

En outre, l’éditeur ouvre une intégration « native » avec VS Code, ce qui permet d’installer les serveurs en quelques clics.

Le projet n’est pas surprenant. MCP est très populaire chez les éditeurs et les programmeurs. Et Microsoft place GitHub au centre d’une nouvelle organisation qui fait la part belle aux outils DevOps infusés à l’IA.

GitHub MCP Registry, une solution en aval d’un projet communautaire

Pour autant, en apparence, ce registre semble faire doublon avec le registre MCP communautaire, tenu par le contributeur principal du projet, Anthropic.

« Le registre MCP OSS est un projet open source façonné par la communauté MCP élargie et Anthropic », précise Toby Padilla. « Sa conception permet à quiconque de publier des serveurs MCP dans un environnement neutre, gouverné par la communauté. Il n’est pas destiné à être manipulé directement par les utilisateurs finaux, mais plutôt à alimenter des registres spécifiques aux plateformes en aval ».

Le registre proposé par GitHub est donc l’un de ces futurs projets « downstream ». Pour la sélection des serveurs, MCP est effectuée manuellement par des ingénieurs de GitHub.

« GitHub travaille en étroite collaboration avec Anthropic et le comité directeur de MCP pour assurer une interopérabilité transparente entre nos registres », affirme Toby Padilla. « Une fois que les développeurs auront autopublier leurs serveurs dans le registre OSS, ils apparaîtront automatiquement dans celui de GitHub ». Quand le registre MCP OSS atteindra sa disponibilité générale, il deviendra une source pour la liste maintenue par la filiale de Microsoft.

Pour ne pas reproduire les problèmes de sécurité rencontrés ces derniers mois, GitHub et la communauté présenteront « les métadonnées transparentes, des signaux de vérification et réduiront la duplication », répond l’interlocuteur du MagIT.

Des places de marchés publiques et privées

Il y a donc fort à parier que les éditeurs d’outils de développement déclinent ce registre OSS pour leur propre besoin et ceux de leurs clients.

Anthropic et les autres participants de la communauté ont prévu qu’il alimente des places de marché publiques, comme celle de GitHub, mais également des portails internes de développement.

« Le registre MCP fournit à ces entreprises une source de données unique en amont sur laquelle elles peuvent s’appuyer. Nous avons pour objectif minimum de livrer les schémas API avec ces implémentations privées afin que les SDK et les outils associés puissent être partagés dans l’ensemble de l’écosystème », écrivent les responsables de la communauté.

Attention aux serveurs vérolés

Précisons que le registre open source est accessible en préversion depuis le 8 septembre dernier. Cette source ouverte n’est toutefois pas garantie sans faille. La recherche de vulnérabilités est dépendante d’un système de notification par les membres de la communauté. Ils sont invités à suivre des règles de bonne conduite.

« Nos capacités de modération active sont limitées, et il s’agit d’un projet soutenu par la communauté », préviennent les responsables du projet MCP OSS. « Nous nous appuyons largement sur les registres de paquets en amont (tels que NPM, PyPi et Docker) ou les sous-registres en aval (tels que le registre GitHub MCP) pour effectuer une modération plus approfondie ». 

Les chercheurs en cybersécurité commencent à trouver des copies vérolées de ces composants.

Que la place de marché soit publique ou privée, Anthropic a néanmoins introduit un mécanisme pour bloquer l’apparition de certains serveurs MCP considérés comme suspects.

Au vu du petit nombre d’entrées disponibles dans la liste de GitHub, l’éditeur n’a pas étoffé son moteur de recherche et ses filtres. Par exemple, difficile de savoir sans lire la documentation si les serveurs sont locaux ou distants. Aussi, l’intégration native avec VS Code est la seule méthode de déploiement affichée par la filiale de Microsoft. Peinture fraîche, donc.