Saltar para o conteúdo principal
Esta integração está em beta. As operações do dia a dia podem ser conduzidas pelo seu assistente de IA (usando os servidores MCP do ZeroPath), com um caminho correspondente no dashboard em Settings → Integrations sempre que houver um. A única exceção é conectar a integração em si: você fornece a chave de API do SD Elements no dashboard do ZeroPath, nunca por meio de um assistente de IA.

Visão geral

Esta integração conecta um scan do ZeroPath a um projeto existente do SD Elements. Suas contramedidas do SD Elements são traduzidas em regras de scan do ZeroPath, e o ZeroPath escaneia seu repositório com base nelas. Três coisas participam dessa relação:
  • Seu projeto SD Elements é a fonte da verdade para as contramedidas — os requisitos de segurança que sua aplicação deve atender.
  • Seu repositório Git é o que o ZeroPath escaneia.
  • O ZeroPath fica no meio. Ele mapeia o projeto para o repositório, classifica cada contramedida (coberta pela análise integrada, coberta por uma regra gerada automaticamente ou não suportada) e escaneia o código com base nas regras resultantes.
Ao final desta página, você terá um projeto SD Elements vinculado a um repositório no ZeroPath, com suas contramedidas sincronizadas no ZeroPath como regras de scan e scans sendo executados com base nelas.

Antes de começar

Contas necessárias

  • Um tenant ZeroPath com acesso de admin. Se você não tiver um, fale com seu contato na Security Compass ou envie um e-mail para a ZeroPath em support@zeropath.com. O provisionamento de um tenant normalmente leva cerca de 24 horas.
  • Uma implantação do SD Elements com acesso à API e pelo menos um projeto que você queira vincular.
  • Um repositório Git no GitHub, GitLab, Bitbucket ou Azure Repos que você possa conectar ao ZeroPath.

Software necessário

  • Um assistente de IA com suporte a MCP. A configuração abaixo cobre Claude Code, Cursor e GitHub Copilot.
  • Para o servidor MCP do ZeroPath que você instala localmente, o toolchain uv — ele é executado via uvx. O servidor MCP do SD Elements é hospedado pela sua instância do SD Elements, então não há nada para instalar nesse caso.

Credenciais necessárias

Você vai coletar seis valores. Guarde-os em um lugar seguro enquanto configura tudo.
O host que você visita para fazer login. Para o SaaS do ZeroPath, é https://zeropath.com. Tenants enterprise ou dedicados podem usar um host diferente — use o que aparece no seu navegador quando você está logado, sem nenhum caminho ao final.
O identificador da sua organização no ZeroPath (algo como org_0123ABC…). Encontre-o em Settings → General no dashboard, ou pergunte ao seu assistente de IA depois que o MCP do ZeroPath estiver conectado: “Qual é o ID da minha organização no ZeroPath?”
Vá em Settings → API Tokens, clique para criar uma chave, dê um nome, escolha uma expiração e copie tanto o ID do token quanto o segredo do token. O segredo é exibido apenas uma vez. Criar um token exige o papel de admin. Veja API Tokens para a referência completa.
O host que você visita para usar o SD Elements, por exemplo https://<your-sde-instance>.sdelements.com. Apenas o host, sem caminho ao final.
Crie um token de API dentro do SD Elements (no seu perfil de usuário / tokens de API) e copie-o. Siga o guia do usuário e a documentação da API do SD Elements para o fluxo de token deles, e não o do ZeroPath. Note que você não vai encontrar uma entrada do ZeroPath na página de integrações do SD Elements, e não precisa de uma — criar essa chave de API e fornecê-la ao ZeroPath é tudo o que o lado do SD Elements exige.
O ID numérico exibido na URL do projeto quando você o visualiza no SD Elements (por exemplo, …/projects/8/). Você fornecerá um ID de projeto por mapeamento.

Acesso de rede

Se o seu repositório ou a sua instância do SD Elements estiver atrás de uma VPN ou em uma rede privada, libere os endereços IP de saída do ZeroPath:
50.112.134.81
44.232.87.32
52.37.222.237

Provisione seu tenant ZeroPath

Se você ainda não tem um tenant, solicite um através do seu contato na Security Compass ou em support@zeropath.com. Use uma organização por prova de conceito; clientes distintos recebem tenants separados para isolamento.

Peça à ZeroPath para habilitar o Security Compass

A integração com o Security Compass é ativada por ambiente pela ZeroPath. Depois que seu tenant existir, peça ao seu contato na ZeroPath — ou envie um e-mail para support@zeropath.com — para habilitar a integração do Security Compass para a sua organização. Até que ela seja habilitada, a opção Security Compass não aparecerá em Settings → Integrations.

Adicione colegas de equipe

Depois de entrar, você pode adicionar colegas de equipe. Os papéis são Admin, Member e Viewer — veja Teams & Permissions para o que cada um pode fazer.
“Convide alice@example.com como admin para a minha organização no ZeroPath.” O assistente adiciona o membro e confirma o papel atribuído.

Conecte um repositório

O ZeroPath escaneia um repositório Git, então conecte um antes de mapeá-lo. Escolha o provedor que você usa; o passo a passo completo de cada um está no Guia Rápido.
“Mostre as instalações do GitHub disponíveis para a minha organização,” e depois “Conecte o repositório em https://github.com/acme/web ao ZeroPath.” O assistente lista o que consegue alcançar e adiciona o repositório que você indicar.
Notas específicas por provedor:
  • GitHub. Use o botão Install GitHub App na página Add Repositories. O GitHub App solicita acesso de leitura ao código, além de leitura/escrita em checks e pull requests, para que o ZeroPath possa publicar resultados e abrir PRs de correção.
  • GitLab. Crie um token de acesso de grupo ou de projeto com o escopo api e o papel Maintainer, depois configure-o em Add Repositories → GitLab. Veja o Guia Rápido.
  • Bitbucket. Conecte através de Add Repositories → Bitbucket, conforme descrito no Guia Rápido.
  • Azure Repos. Conecte a partir da mesma página Add Repositories.
Você também pode conectar um repositório por URL direta com um token de acesso, que é como os repositórios são configurados em muitos pilotos do SD Elements. Conexões por token escaneiam normalmente, mas não recebem o conjunto completo de recursos do GitHub App (checks automáticos em PRs, PRs de correção). Use o GitHub App quando quiser esses recursos.
Se o repositório estiver atrás de uma VPN, aplique a mesma liberação de rede indicada em Antes de começar.

Configure seu projeto SD Elements

Você deve terminar esta seção com um projeto SD Elements cujo questionário (survey) esteja completo e cujas contramedidas estejam populadas, pronto para mapear. O ZeroPath não muda a forma como você constrói um projeto no SD Elements — crie o projeto, complete o questionário e revise as contramedidas resultantes usando o guia do usuário do SD Elements. Um projeto típico (por exemplo, um perfil de aplicação web Django ou .NET) termina com algumas centenas de contramedidas distribuídas por fases como Requirements e Development.
Com o MCP do SD Elements conectado, você pode explorar sem sair do chat: “Liste minhas unidades de negócio no SD Elements,” “Encontre o projeto chamado ‘Payment Service’ no SD Elements,” ou “Mostre as contramedidas do projeto Payment Service no SD Elements.” O assistente retorna as unidades de negócio correspondentes, o projeto (com seu ID numérico) e a lista de contramedidas com títulos, fases e status.

Instale os servidores MCP

Dois servidores MCP conduzem o lado do assistente nesta integração:
  • O MCP do ZeroPathgithub.com/ZeroPathAI/zeropath-mcp-server, instalado localmente. Ele cobre as ferramentas gerais do ZeroPath (ler repositórios, executar scans, inspecionar issues e regras) e as ferramentas do Security Compass (mapear projetos para repositórios, sincronizar regras, ler a auditoria) em um único servidor. Os passos de instalação também estão espelhados em MCP Installation. Ele usa os quatro valores do ZeroPath que você coletou: URL base, ID da organização, ID do token de API e segredo do token de API.
  • O MCP do SD Elements — hospedado em https://<your-sde-instance>.sdelements.com/mcp, autenticando com sua chave de API do SD Elements no cabeçalho sde-api-key. Não há nada para instalar nesse caso.
As três subseções abaixo fornecem uma configuração pronta para copiar e colar dos dois servidores juntos, no formato de cada cliente.

Claude Code

O caminho recomendado no Claude Code é o comando claude mcp add (veja a documentação de MCP do Claude Code). Execute estes dois comandos, substituindo seus valores:
# ZeroPath MCP (local)
claude mcp add --scope user zeropath \
  --env ZEROPATH_BASE_URL=https://zeropath.com \
  --env ZEROPATH_TOKEN_ID=<your-token-id> \
  --env ZEROPATH_TOKEN_SECRET=<your-token-secret> \
  --env ZEROPATH_ORG_ID=<your-org-id> \
  -- uvx --from git+https://github.com/ZeroPathAI/zeropath-mcp-server zeropath-mcp-server

# SD Elements MCP (remote HTTP)
claude mcp add --scope user --transport http sde-mcp-server \
  https://<your-sde-instance>.sdelements.com/mcp \
  --header "sde-api-key: <your-sde-api-key>"
Todas as opções vêm antes do nome do servidor, e o -- separa o nome do comando que inicia o servidor. Se você preferir um arquivo, os mesmos dois servidores vão sob a chave mcpServers no .mcp.json.

Cursor

O Cursor lê servidores MCP de ~/.cursor/mcp.json (global) ou .cursor/mcp.json (por projeto), sob a chave mcpServers (veja a documentação de MCP do Cursor):
{
  "mcpServers": {
    "zeropath": {
      "command": "uvx",
      "args": ["--from", "git+https://github.com/ZeroPathAI/zeropath-mcp-server", "zeropath-mcp-server"],
      "env": {
        "ZEROPATH_BASE_URL": "https://zeropath.com",
        "ZEROPATH_TOKEN_ID": "<your-token-id>",
        "ZEROPATH_TOKEN_SECRET": "<your-token-secret>",
        "ZEROPATH_ORG_ID": "<your-org-id>"
      }
    },
    "sde-mcp-server": {
      "url": "https://<your-sde-instance>.sdelements.com/mcp",
      "headers": {
        "sde-api-key": "<your-sde-api-key>"
      }
    }
  }
}

GitHub Copilot

O GitHub Copilot no VS Code lê servidores MCP de .vscode/mcp.json (por workspace) ou do seu settings.json de usuário, sob a chave servers (veja a documentação de MCP do GitHub). O bloco do SD Elements aqui corresponde à configuração que sua instância do SD Elements fornece:
{
  "servers": {
    "zeropath": {
      "command": "uvx",
      "args": ["--from", "git+https://github.com/ZeroPathAI/zeropath-mcp-server", "zeropath-mcp-server"],
      "env": {
        "ZEROPATH_BASE_URL": "https://zeropath.com",
        "ZEROPATH_TOKEN_ID": "<your-token-id>",
        "ZEROPATH_TOKEN_SECRET": "<your-token-secret>",
        "ZEROPATH_ORG_ID": "<your-org-id>"
      }
    },
    "sde-mcp-server": {
      "url": "https://<your-sde-instance>.sdelements.com/mcp",
      "headers": {
        "sde-api-key": "<your-sde-api-key>"
      }
    }
  }
}
Verificação rápida. Depois que um cliente estiver configurado, pergunte ao seu assistente: “Mostre a integração do Security Compass atualmente configurada para a minha organização no ZeroPath.” Você verá a integração existente e seus mapeamentos, ou uma confirmação de que nenhuma foi configurada ainda.

Fluxo de trabalho de ponta a ponta

Este é o manual de operação. Cada etapa tem um prompt para o assistente e, quando existe, o caminho correspondente no dashboard. O lado do dashboard fica em Settings → Integrations: o card Security Compass mostra a conexão, seus mapeamentos e o status de sincronização de cada mapeamento; o ícone de engrenagem abre Manage Security Compass integration, onde ficam as ações de mapeamento.

  1. Conecte sua instância do SD Elements

Uma vez por organização, e feito no dashboard do ZeroPath. Obtenha sua chave de API no dashboard do SD Elements (veja Credenciais necessárias), depois vá em Settings → Integrations → Add Integration → Security Compass. No diálogo, informe a SD Elements Base URL e o API Token, deixe Enable Integration ligado e clique em Create Integration.
Duas coisas para saber sobre esta etapa:
  • Forneça a chave de API somente através do dashboard do ZeroPath. Não a cole em um assistente de IA — mantenha credenciais fora do chat.
  • Não há nada para configurar do lado do SD Elements. Você não vai encontrar uma integração do ZeroPath na página de integrações do SD Elements, e não precisa de uma; fornecer a chave de API aqui é suficiente.

  1. Teste a conexão

Confirme que as credenciais funcionam e que o ZeroPath consegue ver as contramedidas de um projeto.
“Teste minha conexão do Security Compass contra o projeto <SDE project ID>.” O assistente relata o sucesso e quantas contramedidas vê nesse projeto.

  1. Atualize as credenciais

Quando você rotacionar a chave de API do SD Elements (ou apontar para uma instância diferente), salve a conexão novamente. Isso sobrescreve as credenciais e a URL base armazenadas, mas mantém intactos os mapeamentos de projeto existentes. Assim como a conexão inicial, isso é feito no dashboard — obtenha a nova chave no dashboard do SD Elements em vez de entregá-la a um assistente de IA. Em Manage Security Compass integration → Connection Settings, atualize a Base URL ou o API Token e clique em Save Settings. Deixar o token em branco mantém o atual.

  1. Mapeie um projeto para um repositório

Um mapeamento vincula um projeto SD Elements a um repositório. Você pode mapear vários projetos para um repositório, e um projeto para vários repositórios.
“Mapeie o projeto <ID> do SD Elements para o repositório <repo name> no ZeroPath.” O assistente cria o mapeamento e o confirma.

  1. Sincronize regras a partir das contramedidas

A sincronização busca as contramedidas do projeto, classifica cada uma e cria regras no ZeroPath onde forem necessárias. O trabalho roda em segundo plano — pode levar alguns minutos para um projeto grande. O mapeamento mostra um status running enquanto busca as contramedidas, classifica a cobertura e cria as regras, e então muda para um resumo success quando termina. Uma contramedida que não pode ser classificada é pulada, em vez de fazer toda a execução falhar.
“Sincronize as regras do mapeamento de <project> para <repo>.” O assistente inicia a sincronização (ela roda em segundo plano) e, quando termina, relata um resumo do tipo: 356 contramedidas — 274 cobertas pela análise integrada, um conjunto coberto por regras em linguagem natural recém-criadas e 51 não suportadas atualmente.
Apenas uma sincronização roda por mapeamento por vez. Se você solicitar outra enquanto uma está em andamento, o ZeroPath informa que uma sincronização já está em execução, em vez de iniciar uma segunda.

  1. Revise a auditoria do mapeamento

A auditoria é o detalhamento por contramedida: para cada tarefa, se o ZeroPath a cobre com a análise integrada, a cobre com uma regra em linguagem natural gerada automaticamente ou ainda não a suporta. Este é o artefato que mais interessa aos revisores de segurança.
“Mostre a auditoria do mapeamento do projeto <ID>.” O assistente lista cada contramedida com sua categoria de cobertura.

  1. Dispare um scan

“Execute um scan completo em <repo>.” O assistente inicia o scan e confirma que ele foi enfileirado.

  1. Verifique o histórico de sincronizações e scans

“Mostre os eventos recentes de sincronização do Security Compass” e “Mostre os scans recentes em <repo>.” O assistente retorna o log de sincronização (entradas de início, busca e conclusão, com contagens) e o histórico de scans.

  1. Revise os achados

Os achados aparecem no ZeroPath em Issues, filtráveis por repositório.
“Resuma os achados do scan mais recente de <repo>.”

Execute o pipeline inteiro de uma vez

Você não precisa fazer as etapas uma de cada vez. Com o MCP do ZeroPath e o MCP do SD Elements conectados, um único prompt pode conduzir o pipeline inteiro:
“Configure <repo> com o projeto <ID> do SD Elements: crie o mapeamento, sincronize as regras, execute a auditoria, dispare um scan completo e resuma o que voltou.”
O assistente cria o mapeamento, executa a sincronização (e relata o detalhamento SAST / regras em linguagem natural / não suportadas), apresenta a auditoria, inicia o scan e resume os achados quando o scan termina.

Como o ZeroPath transforma contramedidas em regras

Análise do repositório inteiro

O ZeroPath analisa o repositório inteiro. Ele identifica as aplicações dentro dele, mapeia sources, sinks e as relações entre eles, e constrói um modelo de ameaças por aplicação. Falhas tradicionais são avaliadas de source a sink; controles de nível mais alto são avaliados de forma agêntica contra esse modelo de ameaças. Para uma visão mais profunda, veja o SAST Overview e as Custom Rules. Quando você sincroniza um mapeamento, cada contramedida cai em uma de três categorias:
  • Cobertura integrada — a análise padrão do ZeroPath já detecta essa classe de problema (por exemplo, “Validate all forms of input” ou “Set HttpOnly flag on session cookies”).
  • Regra em linguagem natural — a contramedida corresponde a uma política que o ZeroPath aplica através de uma regra personalizada gerada automaticamente e limitada ao repositório mapeado (por exemplo, um requisito de log de auditoria ou de política de senhas).
  • Não suportada — a contramedida não está relacionada ao desenvolvimento de código, ou não pode ser implementada ou verificada via análise estática (por exemplo, “Verify that penetration testing has been performed”). Essas são puladas durante a sincronização.

Onde os achados mapeados aparecem

Uma visão dedicada no dashboard que conecte os achados de scan às contramedidas específicas do SD Elements às quais eles se referem está em desenvolvimento. Por enquanto, revise a cobertura através da auditoria do mapeamento (etapa 6) e revise os achados na visão padrão Issues.

O que isso significa para a cobertura

De início, o ZeroPath cobre diretamente uma grande parte das contramedidas de um projeto, com boa parte do restante coberta por regras geradas automaticamente e uma cauda menor que um scan de código não consegue verificar. A auditoria (etapa 6) é o registro por contramedida de qual é qual no seu projeto.

Scan de PR vs. scan de branch completa

Scans completos

O modo padrão. Scans completos rodam de forma agendada (geralmente todas as noites) e constroem o cache do repositório que o ZeroPath reutiliza entre os tipos de scan. Configure o agendamento em Scanner Settings.

Scans de PR

Habilitados por repositório, os scans de PR verificam cada pull request usando o cache construído pelos scans completos. A maioria das equipes começa com scans completos na main, ganha confiança e então ativa os scans de PR. Veja PR Scanning.
“Ative o scan de PR para <repo>.”

Segurança e confiança

O ZeroPath armazena credenciais de integração e registros de vulnerabilidades em um banco de dados criptografado e por tenant. O código-fonte é clonado apenas no momento do scan, dentro de um contêiner, e removido quando o scan termina. A ZeroPath executa testes de penetração externos e mantém um programa de divulgação de vulnerabilidades. O relatório SOC 2 está em andamento; uma carta de intenção está disponível mediante solicitação. Para o status de conformidade atual e para solicitar relatórios, veja os recursos abaixo.

Solução de problemas

O ID do projeto SD Elements no mapeamento não existe mais no tenant SD Elements conectado. Confirme que o projeto existe no SD Elements e adicione o mapeamento novamente com o ID correto.
Criar um token de API do ZeroPath exige o papel de admin. Se você tem o papel de Viewer ou Member, peça a um admin da organização que crie o token para você. Veja API Tokens.
O tráfego de saída do ZeroPath precisa alcançar o repositório. Libere os IPs de saída do ZeroPath (veja Acesso de rede).
Se você mantém mais de uma implantação do SD Elements, atualize a URL base e a chave de API da conexão (etapa 3) para apontar para a correta. Os mapeamentos existentes são preservados.
No dashboard, salve as configurações de conexão (URL base e token) antes de testar um projeto ou adicionar um mapeamento. O Test Connection roda contra a URL base salva.
Apenas uma sincronização roda por mapeamento por vez. Aguarde a execução em andamento terminar e então inicie novamente.
A auditoria só fica disponível após uma sincronização bem-sucedida. Execute a sincronização do mapeamento primeiro, depois visualize ou exporte a auditoria.

Perguntas frequentes

Sim — e vários projetos podem ser mapeados para um repositório.
GitHub, GitLab, Bitbucket e Azure Repos.
A configuração recomendada hoje é SaaS. Para requisitos on-premises, fale com o suporte da ZeroPath.
Não. Não há uma entrada do ZeroPath na página de integrações do SD Elements, e nenhuma é necessária. Crie uma chave de API do SD Elements e forneça-a ao ZeroPath (no dashboard do ZeroPath, em Settings → Integrations) — isso completa a conexão.
Uma vez por organização. Você salva uma conexão (URL base e chave de API) e então adiciona um mapeamento para cada par de projeto SD Elements e repositório.
As contramedidas que o SD Elements marca como relevantes para o projeto — as produzidas ao completar o questionário do projeto. Termine o questionário antes de sincronizar para que o conjunto completo esteja disponível.
Cada regra que o ZeroPath cria a partir de uma contramedida é uma regra personalizada padrão, limitada ao repositório mapeado. Visualize, edite ou desabilite essas regras na página de Rules ou através do seu assistente, como qualquer outra regra personalizada.
Não. Hoje a integração lê contramedidas do SD Elements; ela não escreve de volta no seu projeto SD Elements.
Execute a sincronização do mapeamento novamente. O ZeroPath lê as contramedidas no momento da sincronização, então uma nova sincronização captura adições, edições e remoções.
Não. Os scans rodam na infraestrutura do ZeroPath, de forma agendada ou sob demanda. Os servidores MCP são apenas a forma como você conduz a configuração e as consultas a partir do seu assistente.
Gerenciar a conexão e os mapeamentos é controlado pelas permissões da sua organização, e criar um token de API do ZeroPath exige o papel de admin. Veja Teams & Permissions.

Prompts de assistente que você mais usará

Configuração
  • “Mostre a integração do Security Compass configurada para a minha organização no ZeroPath.”
  • “Teste minha conexão do Security Compass contra o projeto <SDE project ID>.”
Mapeamento e sincronização
  • “Mapeie o projeto <ID> do SD Elements para o repositório <repo> no ZeroPath.”
  • “Sincronize as regras do mapeamento de <project> para <repo>.”
  • “Mostre a auditoria do mapeamento do projeto <ID>.”
Scans e resultados
  • “Execute um scan completo em <repo>.”
  • “Mostre os eventos recentes de sincronização do Security Compass.”
  • “Resuma os achados do scan mais recente de <repo>.”