Visão geral
Esta integração conecta um scan do ZeroPath a um projeto existente do SD Elements. Suas contramedidas do SD Elements são traduzidas em regras de scan do ZeroPath, e o ZeroPath escaneia seu repositório com base nelas. Três coisas participam dessa relação:- Seu projeto SD Elements é a fonte da verdade para as contramedidas — os requisitos de segurança que sua aplicação deve atender.
- Seu repositório Git é o que o ZeroPath escaneia.
- O ZeroPath fica no meio. Ele mapeia o projeto para o repositório, classifica cada contramedida (coberta pela análise integrada, coberta por uma regra gerada automaticamente ou não suportada) e escaneia o código com base nas regras resultantes.
Antes de começar
Contas necessárias
- Um tenant ZeroPath com acesso de admin. Se você não tiver um, fale com seu contato na Security Compass ou envie um e-mail para a ZeroPath em support@zeropath.com. O provisionamento de um tenant normalmente leva cerca de 24 horas.
- Uma implantação do SD Elements com acesso à API e pelo menos um projeto que você queira vincular.
- Um repositório Git no GitHub, GitLab, Bitbucket ou Azure Repos que você possa conectar ao ZeroPath.
Software necessário
- Um assistente de IA com suporte a MCP. A configuração abaixo cobre Claude Code, Cursor e GitHub Copilot.
- Para o servidor MCP do ZeroPath que você instala localmente, o toolchain
uv— ele é executado viauvx. O servidor MCP do SD Elements é hospedado pela sua instância do SD Elements, então não há nada para instalar nesse caso.
Credenciais necessárias
Você vai coletar seis valores. Guarde-os em um lugar seguro enquanto configura tudo.URL base do ZeroPath
URL base do ZeroPath
https://zeropath.com. Tenants enterprise ou dedicados podem usar um host
diferente — use o que aparece no seu navegador quando você está logado, sem
nenhum caminho ao final.ID da organização no ZeroPath
ID da organização no ZeroPath
org_0123ABC…). Encontre-o em Settings → General no dashboard, ou
pergunte ao seu assistente de IA depois que o MCP do ZeroPath estiver
conectado: “Qual é o ID da minha organização no ZeroPath?”Token de API do ZeroPath (ID + segredo)
Token de API do ZeroPath (ID + segredo)
URL base do SD Elements
URL base do SD Elements
https://<your-sde-instance>.sdelements.com. Apenas o host, sem caminho ao
final.Chave de API do SD Elements
Chave de API do SD Elements
ID do projeto no SD Elements
ID do projeto no SD Elements
…/projects/8/). Você fornecerá um ID de projeto por
mapeamento.Acesso de rede
Se o seu repositório ou a sua instância do SD Elements estiver atrás de uma VPN ou em uma rede privada, libere os endereços IP de saída do ZeroPath:Provisione seu tenant ZeroPath
Se você ainda não tem um tenant, solicite um através do seu contato na Security Compass ou em support@zeropath.com. Use uma organização por prova de conceito; clientes distintos recebem tenants separados para isolamento.Peça à ZeroPath para habilitar o Security Compass
A integração com o Security Compass é ativada por ambiente pela ZeroPath. Depois que seu tenant existir, peça ao seu contato na ZeroPath — ou envie um e-mail para support@zeropath.com — para habilitar a integração do Security Compass para a sua organização. Até que ela seja habilitada, a opção Security Compass não aparecerá em Settings → Integrations.Adicione colegas de equipe
Depois de entrar, você pode adicionar colegas de equipe. Os papéis são Admin, Member e Viewer — veja Teams & Permissions para o que cada um pode fazer.- Peça ao seu assistente
- Use o dashboard
Conecte um repositório
O ZeroPath escaneia um repositório Git, então conecte um antes de mapeá-lo. Escolha o provedor que você usa; o passo a passo completo de cada um está no Guia Rápido.- Peça ao seu assistente
- Use o dashboard
- GitHub. Use o botão Install GitHub App na página Add Repositories. O GitHub App solicita acesso de leitura ao código, além de leitura/escrita em checks e pull requests, para que o ZeroPath possa publicar resultados e abrir PRs de correção.
- GitLab. Crie um token de acesso de grupo ou de projeto com o escopo
apie o papel Maintainer, depois configure-o em Add Repositories → GitLab. Veja o Guia Rápido. - Bitbucket. Conecte através de Add Repositories → Bitbucket, conforme descrito no Guia Rápido.
- Azure Repos. Conecte a partir da mesma página Add Repositories.
Configure seu projeto SD Elements
Você deve terminar esta seção com um projeto SD Elements cujo questionário (survey) esteja completo e cujas contramedidas estejam populadas, pronto para mapear. O ZeroPath não muda a forma como você constrói um projeto no SD Elements — crie o projeto, complete o questionário e revise as contramedidas resultantes usando o guia do usuário do SD Elements. Um projeto típico (por exemplo, um perfil de aplicação web Django ou .NET) termina com algumas centenas de contramedidas distribuídas por fases como Requirements e Development.- Peça ao seu assistente
- Use a interface do SD Elements
Instale os servidores MCP
Dois servidores MCP conduzem o lado do assistente nesta integração:- O MCP do ZeroPath — github.com/ZeroPathAI/zeropath-mcp-server, instalado localmente. Ele cobre as ferramentas gerais do ZeroPath (ler repositórios, executar scans, inspecionar issues e regras) e as ferramentas do Security Compass (mapear projetos para repositórios, sincronizar regras, ler a auditoria) em um único servidor. Os passos de instalação também estão espelhados em MCP Installation. Ele usa os quatro valores do ZeroPath que você coletou: URL base, ID da organização, ID do token de API e segredo do token de API.
- O MCP do SD Elements — hospedado em
https://<your-sde-instance>.sdelements.com/mcp, autenticando com sua chave de API do SD Elements no cabeçalhosde-api-key. Não há nada para instalar nesse caso.
Claude Code
O caminho recomendado no Claude Code é o comandoclaude mcp add (veja a
documentação de MCP do Claude Code).
Execute estes dois comandos, substituindo seus valores:
-- separa o nome do comando
que inicia o servidor. Se você preferir um arquivo, os mesmos dois servidores
vão sob a chave mcpServers no .mcp.json.
Cursor
O Cursor lê servidores MCP de~/.cursor/mcp.json (global) ou .cursor/mcp.json
(por projeto), sob a chave mcpServers (veja a
documentação de MCP do Cursor):
GitHub Copilot
O GitHub Copilot no VS Code lê servidores MCP de.vscode/mcp.json (por
workspace) ou do seu settings.json de usuário, sob a chave servers (veja a
documentação de MCP do GitHub).
O bloco do SD Elements aqui corresponde à configuração que sua instância do SD
Elements fornece:
Fluxo de trabalho de ponta a ponta
Este é o manual de operação. Cada etapa tem um prompt para o assistente e, quando existe, o caminho correspondente no dashboard. O lado do dashboard fica em Settings → Integrations: o card Security Compass mostra a conexão, seus mapeamentos e o status de sincronização de cada mapeamento; o ícone de engrenagem abre Manage Security Compass integration, onde ficam as ações de mapeamento.
- Conecte sua instância do SD Elements
Uma vez por organização, e feito no dashboard do ZeroPath. Obtenha sua chave de
API no dashboard do SD Elements (veja
Credenciais necessárias), depois vá em Settings →
Integrations → Add Integration → Security Compass. No diálogo, informe a
SD Elements Base URL e o API Token, deixe Enable Integration ligado e
clique em Create Integration.
- Forneça a chave de API somente através do dashboard do ZeroPath. Não a cole em um assistente de IA — mantenha credenciais fora do chat.
- Não há nada para configurar do lado do SD Elements. Você não vai encontrar uma integração do ZeroPath na página de integrações do SD Elements, e não precisa de uma; fornecer a chave de API aqui é suficiente.
- Teste a conexão
Confirme que as credenciais funcionam e que o ZeroPath consegue ver as
contramedidas de um projeto.
- Peça ao seu assistente
- Use o dashboard
- Atualize as credenciais
Quando você rotacionar a chave de API do SD Elements (ou apontar para uma
instância diferente), salve a conexão novamente. Isso sobrescreve as credenciais
e a URL base armazenadas, mas mantém intactos os mapeamentos de projeto
existentes.
Assim como a conexão inicial, isso é feito no dashboard — obtenha a nova chave
no dashboard do SD Elements em vez de entregá-la a um assistente de IA. Em
Manage Security Compass integration → Connection Settings, atualize a
Base URL ou o API Token e clique em Save Settings. Deixar o token em
branco mantém o atual.
- Mapeie um projeto para um repositório
Um mapeamento vincula um projeto SD Elements a um repositório. Você pode mapear
vários projetos para um repositório, e um projeto para vários repositórios.
- Peça ao seu assistente
- Use o dashboard
- Sincronize regras a partir das contramedidas
A sincronização busca as contramedidas do projeto, classifica cada uma e cria
regras no ZeroPath onde forem necessárias. O trabalho roda em segundo plano —
pode levar alguns minutos para um projeto grande. O mapeamento mostra um status
running enquanto busca as contramedidas, classifica a cobertura e cria as
regras, e então muda para um resumo success quando termina. Uma contramedida
que não pode ser classificada é pulada, em vez de fazer toda a execução falhar.
- Peça ao seu assistente
- Use o dashboard
- Revise a auditoria do mapeamento
A auditoria é o detalhamento por contramedida: para cada tarefa, se o ZeroPath a
cobre com a análise integrada, a cobre com uma regra em linguagem natural gerada
automaticamente ou ainda não a suporta. Este é o artefato que mais interessa aos
revisores de segurança.
- Peça ao seu assistente
- Use o dashboard
- Dispare um scan
- Peça ao seu assistente
- Use o dashboard
- Verifique o histórico de sincronizações e scans
- Peça ao seu assistente
- Use o dashboard
- Revise os achados
Os achados aparecem no ZeroPath em Issues, filtráveis por repositório.
- Peça ao seu assistente
- Use o dashboard
Execute o pipeline inteiro de uma vez
Você não precisa fazer as etapas uma de cada vez. Com o MCP do ZeroPath e o MCP do SD Elements conectados, um único prompt pode conduzir o pipeline inteiro:“Configure <repo> com o projeto <ID> do SD Elements: crie o mapeamento, sincronize as regras, execute a auditoria, dispare um scan completo e resuma o que voltou.”O assistente cria o mapeamento, executa a sincronização (e relata o detalhamento SAST / regras em linguagem natural / não suportadas), apresenta a auditoria, inicia o scan e resume os achados quando o scan termina.
Como o ZeroPath transforma contramedidas em regras
Análise do repositório inteiro
O ZeroPath analisa o repositório inteiro. Ele identifica as aplicações dentro dele, mapeia sources, sinks e as relações entre eles, e constrói um modelo de ameaças por aplicação. Falhas tradicionais são avaliadas de source a sink; controles de nível mais alto são avaliados de forma agêntica contra esse modelo de ameaças. Para uma visão mais profunda, veja o SAST Overview e as Custom Rules. Quando você sincroniza um mapeamento, cada contramedida cai em uma de três categorias:- Cobertura integrada — a análise padrão do ZeroPath já detecta essa classe de problema (por exemplo, “Validate all forms of input” ou “Set HttpOnly flag on session cookies”).
- Regra em linguagem natural — a contramedida corresponde a uma política que o ZeroPath aplica através de uma regra personalizada gerada automaticamente e limitada ao repositório mapeado (por exemplo, um requisito de log de auditoria ou de política de senhas).
- Não suportada — a contramedida não está relacionada ao desenvolvimento de código, ou não pode ser implementada ou verificada via análise estática (por exemplo, “Verify that penetration testing has been performed”). Essas são puladas durante a sincronização.
Onde os achados mapeados aparecem
O que isso significa para a cobertura
De início, o ZeroPath cobre diretamente uma grande parte das contramedidas de um projeto, com boa parte do restante coberta por regras geradas automaticamente e uma cauda menor que um scan de código não consegue verificar. A auditoria (etapa 6) é o registro por contramedida de qual é qual no seu projeto.Scan de PR vs. scan de branch completa
Scans completos
O modo padrão. Scans completos rodam de forma agendada (geralmente todas as noites) e constroem o cache do repositório que o ZeroPath reutiliza entre os tipos de scan. Configure o agendamento em Scanner Settings.Scans de PR
Habilitados por repositório, os scans de PR verificam cada pull request usando o cache construído pelos scans completos. A maioria das equipes começa com scans completos namain, ganha confiança e então ativa os scans de PR. Veja
PR Scanning.
- Peça ao seu assistente
- Use o dashboard
Segurança e confiança
O ZeroPath armazena credenciais de integração e registros de vulnerabilidades em um banco de dados criptografado e por tenant. O código-fonte é clonado apenas no momento do scan, dentro de um contêiner, e removido quando o scan termina. A ZeroPath executa testes de penetração externos e mantém um programa de divulgação de vulnerabilidades. O relatório SOC 2 está em andamento; uma carta de intenção está disponível mediante solicitação. Para o status de conformidade atual e para solicitar relatórios, veja os recursos abaixo.- ZeroPath Trust Center: zeropath.com/trust-center
- ZeroPath Trust Portal: zeropath.trust.site
Solução de problemas
A sincronização de regras falha ao buscar tarefas do SD Elements (404)
A sincronização de regras falha ao buscar tarefas do SD Elements (404)
A chave de API não está visível no dashboard
A chave de API não está visível no dashboard
Um repositório atrás de uma VPN não pode ser escaneado
Um repositório atrás de uma VPN não pode ser escaneado
A integração está apontando para a instância errada do SD Elements
A integração está apontando para a instância errada do SD Elements
"Save connection settings (Base URL) first"
"Save connection settings (Base URL) first"
A sincronização de regras diz que já está em execução
A sincronização de regras diz que já está em execução
A auditoria do mapeamento está vazia
A auditoria do mapeamento está vazia
Perguntas frequentes
Um projeto SD Elements pode ser mapeado para vários repositórios?
Um projeto SD Elements pode ser mapeado para vários repositórios?
Quais provedores de controle de versão são suportados?
Quais provedores de controle de versão são suportados?
O ZeroPath pode rodar on-premises junto a um SD Elements on-premises?
O ZeroPath pode rodar on-premises junto a um SD Elements on-premises?
Existe um app do ZeroPath para instalar dentro do SD Elements?
Existe um app do ZeroPath para instalar dentro do SD Elements?
A conexão com o SD Elements é configurada uma vez, ou por repositório?
A conexão com o SD Elements é configurada uma vez, ou por repositório?
Quais contramedidas o ZeroPath sincroniza?
Quais contramedidas o ZeroPath sincroniza?
Onde ficam as regras geradas, e posso editá-las?
Onde ficam as regras geradas, e posso editá-las?
O ZeroPath altera alguma coisa no SD Elements?
O ZeroPath altera alguma coisa no SD Elements?
Minhas contramedidas mudaram no SD Elements. Como atualizo o ZeroPath?
Minhas contramedidas mudaram no SD Elements. Como atualizo o ZeroPath?
Os servidores MCP precisam ficar em execução para os scans?
Os servidores MCP precisam ficar em execução para os scans?
Quem pode configurar a integração e criar mapeamentos?
Quem pode configurar a integração e criar mapeamentos?
Prompts de assistente que você mais usará
Configuração- “Mostre a integração do Security Compass configurada para a minha organização no ZeroPath.”
- “Teste minha conexão do Security Compass contra o projeto <SDE project ID>.”
- “Mapeie o projeto <ID> do SD Elements para o repositório <repo> no ZeroPath.”
- “Sincronize as regras do mapeamento de <project> para <repo>.”
- “Mostre a auditoria do mapeamento do projeto <ID>.”
- “Execute um scan completo em <repo>.”
- “Mostre os eventos recentes de sincronização do Security Compass.”
- “Resuma os achados do scan mais recente de <repo>.”