此文件記錄了針對 Model Context Protocol (MCP) 初學者課程所做的所有重要更改。更改以時間倒序記錄(最新更改在最前)。
- MCP-SECURITY-BEST-PRACTICES-2025.md:根據 MCP 規範 2025-06-18 完全重寫
- 強制性要求:新增來自官方規範的明確 MUST/MUST NOT 要求,並提供清晰的視覺標記
- 12 項核心安全實踐:從 15 項列表重組為全面的安全領域
- 令牌安全與身份驗證,支持外部身份提供者集成
- 會話管理與傳輸安全,包含加密要求
- AI 特定威脅防護,集成 Microsoft Prompt Shields
- 訪問控制與權限,遵循最小權限原則
- 內容安全與監控,集成 Azure Content Safety
- 供應鏈安全,包含全面的組件驗證
- OAuth 安全與混淆代理防護,實現 PKCE
- 事件響應與恢復,支持自動化功能
- 合規與治理,對齊監管要求
- 高級安全控制,採用零信任架構
- Microsoft 安全生態系統集成,提供全面解決方案
- 持續安全演進,採用自適應實踐
- Microsoft 安全解決方案:增強 Prompt Shields、Azure Content Safety、Entra ID 和 GitHub Advanced Security 的集成指導
- 實施資源:按官方 MCP 文檔、Microsoft 安全解決方案、安全標準和實施指南分類的全面資源鏈接
- MCP-SECURITY-CONTROLS-2025.md:全面改版,採用企業級安全框架
- 9 個全面安全領域:從基礎控制擴展到詳細的企業框架
- 高級身份驗證與授權,集成 Microsoft Entra ID
- 令牌安全與反傳遞控制,包含全面驗證
- 會話安全控制,防止劫持
- AI 特定安全控制,防範提示注入和工具中毒
- 混淆代理攻擊防護,採用 OAuth 代理安全
- 工具執行安全,支持沙盒和隔離
- 供應鏈安全控制,包含依賴性驗證
- 監控與檢測控制,集成 SIEM
- 事件響應與恢復,支持自動化功能
- 實施範例:新增詳細的 YAML 配置塊和代碼範例
- Microsoft 解決方案集成:全面涵蓋 Azure 安全服務、GitHub Advanced Security 和企業身份管理
- 9 個全面安全領域:從基礎控制擴展到詳細的企業框架
- README.md:針對企業安全實施進行全面重寫
- 當前規範對齊:更新至 MCP 規範 2025-06-18,包含強制性安全要求
- 增強身份驗證:集成 Microsoft Entra ID,提供 .NET 和 Java Spring Security 的詳細範例
- AI 安全集成:實施 Microsoft Prompt Shields 和 Azure Content Safety,提供詳細的 Python 範例
- 高級威脅緩解:提供全面的實施範例,包括:
- 混淆代理攻擊防護,採用 PKCE 和用戶同意驗證
- 令牌傳遞防護,採用受眾驗證和安全令牌管理
- 會話劫持防護,採用加密綁定和行為分析
- 企業安全集成:Azure Application Insights 監控、威脅檢測管道和供應鏈安全
- 實施清單:清晰區分強制性與推薦的安全控制,並強調 Microsoft 安全生態系統的優勢
- 規範參考:更新所有參考至當前 MCP 規範 2025-06-18
- Microsoft 安全生態系統:增強所有安全文檔中的集成指導
- 實用實施:新增 .NET、Java 和 Python 的詳細代碼範例,採用企業模式
- 資源組織:按官方文檔、安全標準和實施指南進行全面分類
- 視覺標記:清晰標註強制性要求與推薦實踐
- 協議版本更新:更新為參考當前 MCP 規範 2025-06-18,採用基於日期的版本格式(YYYY-MM-DD)
- 架構精煉:增強對 Hosts、Clients 和 Servers 的描述,反映當前 MCP 架構模式
- Hosts 現在明確定義為協調多個 MCP 客戶端連接的 AI 應用
- Clients 描述為維持一對一服務器關係的協議連接器
- Servers 增強了本地與遠程部署場景的描述
- 原語重組:全面改版服務器和客戶端原語
- 服務器原語:資源(數據源)、提示(模板)、工具(可執行功能),提供詳細解釋和範例
- 客戶端原語:採樣(LLM 完成)、引導(用戶輸入)、日誌(調試/監控)
- 更新為當前的發現(
*/list)、檢索(*/get)和執行(*/call)方法模式
- 協議架構:引入雙層架構模型
- 數據層:基於 JSON-RPC 2.0,包含生命周期管理和原語
- 傳輸層:STDIO(本地)和可流式 HTTP(遠程)傳輸機制
- 安全框架:全面的安全原則,包括明確的用戶同意、數據隱私保護、工具執行安全和傳輸層安全
- 通信模式:更新協議消息,展示初始化、發現、執行和通知流程
- 代碼範例:刷新多語言範例(.NET、Java、Python、JavaScript),反映當前 MCP SDK 模式
- 標準對齊:完全對齊 MCP 規範 2025-06-18 的安全要求
- 身份驗證演進:記錄從自定義 OAuth 服務器到外部身份提供者委派(Microsoft Entra ID)的演進
- AI 特定威脅分析:增強對現代 AI 攻擊向量的覆蓋
- 詳細的提示注入攻擊場景,包含實際範例
- 工具中毒機制和“地毯式攻擊”模式
- 上下文窗口中毒和模型混淆攻擊
- Microsoft AI 安全解決方案:全面覆蓋 Microsoft 安全生態系統
- AI Prompt Shields,支持高級檢測、聚焦和分隔技術
- Azure Content Safety 集成模式
- GitHub Advanced Security,用於供應鏈保護
- 高級威脅緩解:詳細的安全控制,包括:
- MCP 特定攻擊場景中的會話劫持,採用加密會話 ID 要求
- MCP 代理場景中的混淆代理問題,採用明確的同意要求
- 令牌傳遞漏洞,採用強制驗證控制
- 供應鏈安全:擴展 AI 供應鏈覆蓋,包括基礎模型、嵌入服務、上下文提供者和第三方 API
- 基礎安全:增強與企業安全模式的集成,包括零信任架構和 Microsoft 安全生態系統
- 資源組織:按類型(官方文檔、標準、研究、Microsoft 解決方案、實施指南)分類的全面資源鏈接
- 結構化學習目標:增強學習目標,提供具體且可操作的成果
- 交叉參考:新增相關安全和核心概念主題之間的鏈接
- 最新信息:更新所有日期參考和規範鏈接至當前標準
- 實施指導:在兩個部分中新增具體且可操作的實施指南
- 完全重新設計 README.md 中的課程導航
- 用更易訪問的表格格式替換
<details>標籤 - 在新建的 "alternative_layouts" 文件夾中創建替代佈局選項
- 添加基於卡片、標籤式和手風琴式的導航範例
- 更新存儲庫結構部分以包含所有最新文件
- 增強“如何使用此課程”部分,提供清晰的建議
- 更新 MCP 規範鏈接以指向正確的 URL
- 在課程結構中新增上下文工程部分(5.14)
- 完全修訂學習指南以對齊當前存儲庫結構
- 為 MCP 客戶端與工具以及流行的 MCP 服務器新增章節
- 更新視覺課程地圖以準確反映所有主題
- 增強高級主題的描述,涵蓋所有專業領域
- 更新案例研究部分以反映實際範例
- 添加此全面的變更記錄
- 添加有關圖像生成的 MCP 服務器的詳細信息
- 添加在 VSCode 中使用 Claude 的全面部分
- 添加 Cline 終端客戶端的設置和使用說明
- 更新 MCP 客戶端部分以包含所有流行的客戶端選項
- 增強貢獻範例,提供更準確的代碼範例
- 使用一致的命名方式組織所有專業主題文件夾
- 添加上下文工程材料和範例
- 添加 Foundry 代理集成文檔
- 增強 Entra ID 安全集成文檔
- 發布 MCP 初學者課程的第一版
- 為所有 10 個主要部分創建基本結構
- 實施視覺課程地圖以進行導航
- 在多種編程語言中添加初始示例項目
- 創建第一個服務器實現範例
- 添加客戶端開發指導
- 包括 LLM 客戶端集成說明
- 添加 VS Code 集成文檔
- 實施服務器發送事件 (SSE) 服務器範例
- 添加有關客戶端-服務器架構的詳細解釋
- 創建關鍵協議組件的文檔
- 記錄 MCP 中的消息模式
- 使用基本文件夾結構初始化存儲庫
- 為每個主要部分創建 README 文件
- 設置翻譯基礎設施
- 添加圖像資產和圖表
- 創建包含課程概述的初始 README.md
- 添加 CODE_OF_CONDUCT.md 和 SECURITY.md
- 設置 SUPPORT.md,提供獲取幫助的指導
- 創建初步學習指南結構
- 為 MCP 初學者課程進行初步規劃
- 定義學習目標和目標受眾
- 概述課程的 10 部分結構
- 開發示例和案例研究的概念框架
- 為關鍵概念創建初始原型範例
免責聲明:
此文件已使用人工智能翻譯服務 Co-op Translator 進行翻譯。我們致力於提供準確的翻譯,但請注意,自動翻譯可能包含錯誤或不準確之處。應以原文文件作為權威來源。對於關鍵資訊,建議尋求專業的人工作翻譯。我們對因使用此翻譯而引起的任何誤解或錯誤解讀概不負責。