Issues
12 ferramentas — listar, triar, investigar, atualizar status, severidade e notas, regenerar patches
Scans
3 ferramentas — listar histórico de scans, obter detalhes de um scan, reescanear PRs
Repositórios
1 ferramenta — listar repositórios com filtragem
Inspeção de Código
3 ferramentas — buscar, ler e listar arquivos em repositórios conectados
Regras
5 ferramentas — CRUD completo para regras de segurança personalizadas
Escopo de Organização
Toda ferramenta aceitaorganizationId. O servidor MCP lida com isso automaticamente:
- Se
ZEROPATH_ORG_IDestiver definido, o servidor o injeta em cada requisição — você nunca precisa passá-lo manualmente. - Se
ZEROPATH_ORG_IDnão estiver definido, você deve passarorganizationIdexplicitamente. A maioria das ferramentas o exige no nível da API; algumas (comoissues.list) conseguem resolver o contexto da organização a partir da sua sessão de autenticação.
Ferramentas de Issues
issues.list
Liste e filtre issues de segurança. Usa paginação baseada em offset viaoffset e limit.
issues.archive
Arquive issues para removê-las das visualizações ativas.issues.unarchive
Restaure issues arquivadas de volta às visualizações ativas.issues.markFalsePositive
Marque issues como falsos positivos. Remove-as da revisão ativa.issues.markTruePositive
Confirme issues como verdadeiros positivos.issues.updateStatus
Atualize o status de fluxo de trabalho de uma ou mais issues.issues.updateSeverity
Atualize o score de severidade de uma única issue.issues.requestInvestigation
Solicite uma investigação sob demanda de um achado usando modelos de IA maiores para uma validação de maior confiança.REST vs MCP: A API HTTP pública expõe um único procedimento,
POST /api/v2/issues/requestInvestigation, com um array issueIds (um ou mais IDs). Essa rota usa o mesmo caminho de backend que a ferramenta MCP issues.requestBulkInvestigation. Esta ferramenta MCP issues.requestInvestigation chama a mutação tRPC de issue única — não existe um endpoint REST POST …/{id}/investigate correspondente."status": "already_pending" em vez de criar uma duplicata.
issues.requestBulkInvestigation
Solicite investigações para várias issues de uma vez.Mapeamento REST:
POST /api/v2/issues/requestInvestigation com { issueIds, context?, organizationId? }. Esta é a superfície HTTP para investigações em lote; não é o mesmo nome de ferramenta MCP que issues.requestInvestigation (ferramenta tRPC de issue única acima).issues.getInvestigationStatus
Obtenha o resultado de investigação mais recente de uma issue.null se nenhuma investigação tiver sido solicitada para a issue. O campo status pode ser PENDING, PROCESSING, COMPLETED ou FAILED.
issues.regeneratePatch
Solicite a geração de um novo patch para uma issue. Use isto quando o patch gerado automaticamente estiver desatualizado, não se aplicar de forma limpa, ou quando você quiser uma nova tentativa depois que o código afetado mudou.issues.updateNotes
Atualize as notas internas de uma issue. Notas são anotações de texto livre visíveis para sua equipe na página de detalhes da issue e são úteis para registrar contexto de triagem, descobertas de investigação ou planos de remediação.Ferramentas de Scan
scans.list
Liste scans com paginação baseada em cursor. Passe onextCursor de uma resposta anterior para avançar na paginação.
scans.get
Obtenha os detalhes de um scan específico.scans.rescanPR
Dispare um novo scan de um pull request ou merge request. Passe o ID de um scan de PR anterior e a plataforma buscará o pull request novamente e criará novo(s) scan(s). Suporta PRs do GitHub e MRs do GitLab.outcome indica o que aconteceu:
Ferramentas de Repositório
repositories.list
Liste repositórios com paginação baseada em cursor (cursor em string).Ferramentas de Inspeção de Código
Estas ferramentas permitem navegar e buscar código-fonte diretamente em repositórios GitHub e GitLab conectados, sem precisar cloná-los.code.search
Busque código dentro de um repositório.code.read
Leia o conteúdo de um arquivo em um repositório.truncatedByLineRange e truncatedByByteLimit indicam se a resposta foi truncada.
code.listFiles
Liste arquivos e diretórios dentro de um caminho do repositório.A inspeção de código atualmente é suportada para repositórios GitHub e GitLab. Bitbucket, Git genérico e repositórios enviados por upload ainda não são suportados.
Ferramentas de Regras
rules.list
Liste regras de segurança personalizadas. Usa paginação baseada em offset.rules.get
Obtenha os detalhes de uma regra específica, incluindo os nomes dos repositórios associados.rules.create
Crie uma regra de segurança personalizada.rules.update
Atualize uma regra existente. Apenas os campos que você incluir serão modificados.rules.delete
Exclua uma regra personalizada.Fluxos de Trabalho Comuns
Triar novas issues
Triar novas issues
- Liste as issues pendentes — chame
issues.listcomstatuses: ["PENDING_REVIEW"]ordenado porscoredecrescente. - Revise cada issue — peça ao seu assistente de IA para resumir a vulnerabilidade e o código afetado.
- Classifique — use
issues.markTruePositiveouissues.markFalsePositivecom um motivo. - Atualize o status — mova as issues confirmadas para
REVIEWINGouPATCHINGcomissues.updateStatus. - Ajuste a severidade — se o score atribuído automaticamente não corresponder à sua avaliação, use
issues.updateSeveritycom um valor de 0 a 10.
Criar regras personalizadas
Criar regras personalizadas
- Liste as regras existentes — chame
rules.listpara ver o que já está configurado. - Crie uma regra — use
rules.createcom uma descrição em linguagem natural. O scanner da ZeroPath fará a correspondência desse padrão em scans futuros. - Defina o escopo — use
repositoryIdspara limitar a regra a repositórios específicos,globPatternpara limitar a tipos de arquivo específicos esourceTypespara direcionar pontos de entrada específicos. - Adicione tags — use
tagIdspara associar a regra a tags para fins de organização. - Itere — atualize com
rules.updateconforme você refina o padrão.
Investigar resultados de scans
Investigar resultados de scans
- Liste os scans recentes — chame
scans.listpara ver o histórico de scans. Filtre comscanTypes: ["FullScan"]para scans agendados ou["PrScan"]para scans de PR. - Obtenha os detalhes do scan — use
scans.getcom umscanIdespecífico para ver status, branch e contagens de issues. - Aprofunde-se nos achados — chame
issues.listcom um filtro descanIdpara ver apenas as issues daquele scan.
Tratamento de Erros
Chamadas de ferramenta que falham retornam erros estruturados:BAD_REQUEST — Entrada inválida
BAD_REQUEST — Entrada inválida
Retornado quando a validação da entrada falha. Verifique o array
data.issues para detalhes por campo.FORBIDDEN — Permissões insuficientes
FORBIDDEN — Permissões insuficientes
A chave de API não tem as permissões necessárias para esta operação. Verifique o papel da sua chave em ZeroPath Settings.
NOT_FOUND — O recurso não existe
NOT_FOUND — O recurso não existe
O ID especificado (issue, scan, regra ou repositório) não foi encontrado. Verifique se o ID está correto e pertence à sua organização.
Dicas
- Pagine — sempre pagine conjuntos grandes de resultados. Use
offset/limitpara issues e regras,cursor/limitpara scans e repositórios. - Filtre cedo — use filtros de status, severidade e repositório para reduzir o tamanho da resposta.
- Atualize em lote — passe múltiplos IDs em uma única chamada ao arquivar, marcar ou atualizar status.
- Inclua motivos — adicione um
reasonao arquivar, marcar falsos/verdadeiros positivos ou mudar status, para fins de trilha de auditoria. - Defina o contexto da organização — configure
ZEROPATH_ORG_IDdurante a instalação para que o servidor injeteorganizationIdautomaticamente em cada requisição.