> ## Documentation Index
> Fetch the complete documentation index at: https://zeropath.com/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Relatórios

> Gere e exporte relatórios de segurança a partir dos dados dos seus scans

<h2 id="overview">
  Visão Geral
</h2>

O ZeroPath gera relatórios de segurança exportáveis para revisões de conformidade, atualizações para stakeholders e documentação de auditoria. Os relatórios são gerados de forma assíncrona e ficam disponíveis para download no dashboard.

A seção **Reports** do dashboard é organizada em abas:

* **Assets** — uma visão geral de repositórios, linguagens e frameworks em toda a sua organização. O rodapé da tabela mostra sua posição atual (por exemplo, "Showing 50 of 200 applications") e carrega mais resultados automaticamente conforme você rola a página.
* **Views** — monte visualizações de relatório personalizadas a partir de configurações de filtros predefinidas ou salvas.
* **Generate** — crie relatórios para download do tipo Scan, Organization Summary ou SOC 2.
* **History** — visualize e baixe relatórios gerados anteriormente.

<h2 id="dashboard-overview-statistics">
  Estatísticas da Visão Geral do Dashboard
</h2>

O dashboard exibe, de forma resumida, cinco métricas-chave de postura de segurança:

| Métrica                     | Descrição                                                                             |
| --------------------------- | ------------------------------------------------------------------------------------- |
| **Total Open**              | Número total de issues abertas em toda a sua organização                              |
| **Total Resolved**          | Número total de issues resolvidas no intervalo de tempo selecionado                   |
| **Reachable & Exploitable** | Issues de SCA abertas com caminhos de pacote alcançáveis e explorabilidade confirmada |
| **Avg PR Scan Time**        | Tempo médio dos scans de PR nos últimos 30 dias                                       |
| **Mean Time To Resolve**    | Número médio de dias para resolver issues                                             |

A métrica "Reachable & Exploitable" destaca o subconjunto de achados de dependências que têm tanto um caminho de código alcançável quanto explorabilidade confirmada, ajudando você a focar nas issues de SCA que representam o risco mais imediato.

<h3 id="dashboard-filters">
  Filtros do Dashboard
</h3>

Você pode filtrar todos os gráficos do dashboard por **severidade**, **classe de vulnerabilidade** e **aplicação**. O filtro de aplicação permite restringir cada widget — incluindo Issues by Severity, Issues by Vulnerability, Issues by Repository, Issues by PR Author, Top Issues e Top Issues Resolved — a uma ou mais aplicações específicas. Isso é especialmente útil em organizações com monorepos contendo vários serviços, permitindo focar na postura de segurança de uma única aplicação por vez.

<h3 id="issues-by-application">
  Issues por Aplicação
</h3>

O dashboard inclui um gráfico **Issues By Application** que agrupa issues abertas e resolvidas por aplicação. Cada barra representa uma aplicação, dividida em segmentos de abertas (vermelho) e resolvidas (verde). Você pode passar o mouse sobre um segmento para ver a contagem exata. Esse gráfico respeita os mesmos filtros de severidade, classe de vulnerabilidade e aplicação que os demais widgets do dashboard.

<h2 id="report-types">
  Tipos de Relatório
</h2>

| Tipo                     | Descrição                                                                                                                                                 |
| ------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Scan Report**          | Achados detalhados de um scan específico — inclui todas as vulnerabilidades, a distribuição por severidade, os arquivos afetados e o status de remediação |
| **Organization Summary** | Postura de segurança de alto nível em todos os repositórios da sua organização                                                                            |
| **SOC 2 Report**         | Relatório voltado a conformidade, estruturado para evidências de auditoria SOC 2                                                                          |
| **Shai Hulud Impact**    | Identifica entradas de package.json e package-lock.json ligadas ao malware Shai Hulud nos repositórios selecionados                                       |

<h2 id="export-formats">
  Formatos de Exportação
</h2>

Relatórios de scan suportam vários formatos de saída:

| Formato   | Ideal Para                                                                   |
| --------- | ---------------------------------------------------------------------------- |
| **DOCX**  | Apresentações para stakeholders, documentação de conformidade                |
| **CSV**   | Análise de dados, dashboards personalizados, fluxos de trabalho em planilhas |
| **SARIF** | Integração com ferramentas, pipelines de CI/CD, visualizadores SARIF         |
| **SBOM**  | Conformidade de cadeia de suprimentos (formato CycloneDX JSON)               |

Relatórios de resumo da organização e SOC 2 são gerados como documentos **DOCX**. Relatórios personalizados podem ser exportados como **CSV**, **CASA CSV**, **SARIF** ou **PDF** (consulte [Exportando Relatórios Personalizados](#exporting-custom-reports)).

<h2 id="generating-reports">
  Gerando Relatórios
</h2>

<h3 id="scan-report">
  Relatório de Scan
</h3>

1. Navegue até **Reports → Generate** no dashboard.
2. Clique no card **"Scan Report"**.
3. Selecione um **repositório** no menu suspenso.
4. Selecione um **scan** no menu suspenso (preenchido após escolher um repositório — mostra scans completos e de PR com as contagens de issues).
5. Selecione o **formato** (DOCX, CSV, SARIF ou SBOM).
6. Defina um **limite de pontuação** — apenas achados acima dessa pontuação são incluídos.
7. Escolha quais **tipos de issue** incluir (Exclude False Positives ou All Issues).
8. Clique em **Generate**. O relatório é criado de forma assíncrona — baixe-o na aba **History** quando estiver pronto.

<h3 id="organization-summary">
  Resumo da Organização
</h3>

1. Navegue até **Reports → Generate** no dashboard.
2. Clique no card **"Organization Summary Report"**.
3. Opcionalmente, informe um nome de empresa personalizado.
4. Clique em **Generate**. Baixe o DOCX na aba **History** quando estiver pronto.

<h3 id="soc-2-report">
  Relatório SOC 2
</h3>

1. Navegue até **Reports → Generate** no dashboard.
2. Clique no card **"SOC 2"**.
3. Opcionalmente, informe um nome de empresa.
4. Clique em **Generate**. Baixe na aba **History** quando estiver pronto.

<h2 id="report-history">
  Histórico de Relatórios
</h2>

Todos os relatórios gerados são listados na seção **Reports** do dashboard com:

* Tipo e título do relatório
* Data de geração e status (pending, processing, completed, failed)
* Nome e tamanho do arquivo
* Botão de download

Enquanto um relatório está sendo gerado, a visualização de histórico **atualiza automaticamente**, para que você veja as mudanças de status em tempo real sem recarregar a página. Ao verificar o status de um relatório via API, a resposta inclui o `fileName` do relatório junto com o status, para que você possa identificar o arquivo gerado antes de baixá-lo.

Os relatórios podem ser baixados ou excluídos na visualização de histórico.

<h2 id="custom-report-statistics">
  Estatísticas de Relatórios Personalizados
</h2>

Relatórios personalizados permitem aplicar o conjunto completo de filtros de issues e recuperar estatísticas agregadas dos achados correspondentes. Isso é útil para montar dashboards executivos, acompanhar o progresso da remediação ao longo do tempo ou gerar visualizações focadas da sua postura de segurança.

<h3 id="interactive-dashboard">
  Dashboard Interativo
</h3>

Quando você abre um relatório personalizado na aba **Views**, a plataforma exibe um dashboard interativo com gráficos visuais que se atualizam automaticamente conforme você muda os filtros:

| Gráfico                       | Descrição                                                                                                                                              |
| ----------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **Total Issues**              | Uma contagem em destaque de todas as issues que correspondem aos seus filtros atuais                                                                   |
| **Severity Distribution**     | Uma barra empilhada codificada por cores mostrando a distribuição por nível de severidade (Critical, High, Medium, Low, Info), com contagens por nível |
| **MTTR**                      | Tempo médio de remediação em dias, calculado sobre as issues resolvidas no conjunto de resultados                                                      |
| **Top Vulnerability Classes** | Um gráfico de barras horizontais classificando as categorias de vulnerabilidade mais comuns entre as issues correspondentes                            |
| **Issue Trend**               | Um gráfico de linhas comparando issues novas vs. resolvidas ao longo do tempo                                                                          |

Abaixo dos gráficos, uma **tabela de issues** paginada lista todos os achados correspondentes, com colunas de severidade, pontuação, título, repositório, classe de vulnerabilidade, status e data de detecção. Você pode clicar em qualquer linha para navegar diretamente à página de detalhes da issue.

<h3 id="filter-bar">
  Barra de Filtros
</h3>

A barra de filtros usa uma interface baseada em chips para montar consultas. Cada filtro aparece como um chip compacto mostrando o nome do campo, o operador e o valor selecionado. Você pode:

* Clicar em **"Add filter"** para escolher entre os campos de filtro disponíveis, organizados por categoria (Issue, Repository, Scan).
* Clicar em um chip de filtro existente para editar seu campo, operador ou valor inline por meio de um popover.
* Remover filtros individuais clicando no botão **x** de um chip, ou clicar em **Clear** para redefinir todos os filtros.
* Clicar em **Save** para armazenar a configuração de filtros atual como um relatório nomeado (consulte [Relatórios Personalizados Salvos](#saved-custom-reports) abaixo).
* Clicar em **Export** para baixar as issues correspondentes no formato de sua preferência (consulte [Exportando Relatórios Personalizados](#exporting-custom-reports) abaixo).

Os campos de filtro disponíveis incluem:

| Campo                   | Tipo                                                            | Exemplos de Operadores                     |
| ----------------------- | --------------------------------------------------------------- | ------------------------------------------ |
| **Severity**            | Enum                                                            | is, is not, is any of                      |
| **Score**               | Número                                                          | =, >=, \<, between                         |
| **Status**              | Enum                                                            | is, is not, is any of                      |
| **Type**                | Enum (SAST, Logic, Policies, Secrets, IaC, CI/CD, EoL, SCA)     | is, is not, is any of                      |
| **Vulnerability Class** | Texto                                                           | contains, equals, starts with              |
| **Validation State**    | Enum (Confirmed, Disconfirmed, Unknown)                         | is, is not, is any of                      |
| **Reachability**        | Enum (Likely Exploitable, Needs Review, Likely Non-Exploitable) | is, is not, is any of                      |
| **Is New Issue**        | Booleano                                                        | is true, is false                          |
| **Wiz Exposure**        | Booleano                                                        | is true, is false                          |
| **Search**              | Texto                                                           | contains                                   |
| **Language**            | Enum                                                            | is, is not, is any of                      |
| **Repository Name**     | Texto                                                           | contains, equals, starts with              |
| **Branch**              | Texto                                                           | equals, contains                           |
| **Tag**                 | Texto                                                           | equals                                     |
| **Application**         | Enum (aplicações detectadas por repositório)                    | is, is any of                              |
| **Detected At**         | Data                                                            | is, before, after, between, in last N days |
| **Resolved At**         | Data                                                            | is, before, after, between, in last N days |
| **Scan Type**           | Enum (Full Scan, PR Scan)                                       | is, is not, is any of                      |

As estatísticas de relatórios personalizados incluem:

| Métrica                       | Descrição                                                                                                        |
| ----------------------------- | ---------------------------------------------------------------------------------------------------------------- |
| **Total Count**               | Número de issues que correspondem aos seus filtros                                                               |
| **Severity Distribution**     | Distribuição das issues correspondentes por nível de severidade (Critical, High, Medium, Low, Info)              |
| **Top Vulnerability Classes** | As categorias de vulnerabilidade mais comuns entre as issues correspondentes, classificadas por contagem         |
| **Mean Time to Remediation**  | Número médio de dias entre a criação e a resolução da issue, para as issues resolvidas no conjunto de resultados |
| **Trend**                     | Uma visão em série temporal das issues novas e resolvidas ao longo do período filtrado                           |

Você pode restringir os resultados usando qualquer combinação dos filtros padrão de issues, incluindo:

* **Intervalos de data** — filtre pela data de criação da issue (`createdAfter` / `createdBefore`) ou pela data de resolução (`resolvedAfter` / `resolvedBefore`) para focar em uma janela de tempo específica
* **Estado de validação** — inclua apenas achados confirmados, refutados ou desconhecidos
* **Alcançabilidade** — filtre pela possibilidade de o caminho de código vulnerável ser alcançável na sua aplicação
* **Operadores de classe de vulnerabilidade** — combine classes de vulnerabilidade usando operadores de correspondência exata, por prefixo ou por substring, para uma filtragem mais precisa
* **Filtros de aplicação** — restrinja os resultados a aplicações específicas detectadas nos seus repositórios (útil para monorepos com vários serviços)
* **Branches de repositório** — restrinja o relatório personalizado a branches específicas por repositório, em vez de usar apenas a branch padrão
* **Exclusão de pontuação** — exclua issues com um valor de pontuação específico

As estatísticas de relatórios personalizados estão disponíveis pela API e pelo dashboard, e exigem a permissão **Custom Report View**.

<h3 id="preset-reports">
  Relatórios Predefinidos
</h3>

A aba **Views** inclui vários relatórios predefinidos integrados, para que você possa começar a analisar categorias comuns de issues imediatamente, sem configurar filtros manualmente:

| Predefinição                  | Descrição                                                            |
| ----------------------------- | -------------------------------------------------------------------- |
| **SCA Vulnerabilities**       | Todos os achados de dependências / análise de composição de software |
| **PR Scan Issues**            | Issues detectadas durante scans de pull request                      |
| **Secrets Exposure**          | Segredos e credenciais expostos                                      |
| **Critical & High Severity**  | Todos os achados de severidade crítica e alta                        |
| **SAST Findings**             | Achados de análise estática (tradicionais e de lógica de negócio)    |
| **New Issues (Last 30 Days)** | Issues recém-detectadas nos últimos 30 dias                          |

Relatórios predefinidos não podem ser editados nem excluídos. Para personalizar uma predefinição, selecione-a, modifique os filtros e salve como um novo relatório personalizado.

<h3 id="saved-custom-reports">
  Relatórios Personalizados Salvos
</h3>

Você pode salvar configurações de filtros usadas com frequência como relatórios personalizados nomeados, para acesso rápido. Os relatórios salvos ficam disponíveis tanto na aba **Views** do dashboard quanto pela API.

Na aba **Views**, você pode:

* Selecionar **New Custom Report** para montar um relatório do zero, ou escolher um **relatório predefinido** para partir de uma configuração de filtros pré-definida.
* Usar **Save** para salvar um relatório personalizado com um nome e poder retornar a ele mais tarde. Os relatórios salvos aparecem no menu suspenso do seletor de relatórios em **Saved Reports**.
* **Excluir** um relatório salvo selecionando-o e clicando no botão de exclusão.

Criar e visualizar relatórios salvos exige as permissões **Custom Report Create** e **Custom Report View**. Excluir relatórios salvos exige a permissão **Custom Report Delete**.

A API também fornece endpoints para listar, criar e excluir relatórios personalizados salvos de forma programática.

<h3 id="exporting-custom-reports">
  Exportando Relatórios Personalizados
</h3>

Você pode exportar qualquer visualização de relatório personalizado clicando no botão **Export** na barra de filtros. Isso abre um diálogo de exportação em que você escolhe um formato e baixa as issues correspondentes.

<h4 id="export-formats">
  Formatos de Exportação
</h4>

| Formato               | Descrição                                                                                                                                                                                                                                                                           |
| --------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Regular CSV**       | Todas as issues que correspondem aos filtros atuais, exportadas como arquivo CSV                                                                                                                                                                                                    |
| **CASA Relevant CSV** | Apenas as issues relevantes para CASA que correspondem aos filtros atuais                                                                                                                                                                                                           |
| **SARIF**             | Issues com localizações de código, para ferramentas compatíveis com SARIF. Você pode opcionalmente incluir contexto de **pré-condições** e **passo a passo de exploração** na saída SARIF. Issues sem dados de localização de código são omitidas, e você é notificado da contagem. |
| **PDF**               | Um PDF compartilhável que espelha o dashboard exibido na tela (veja abaixo)                                                                                                                                                                                                         |

<h4 id="pdf-export-details">
  Detalhes da Exportação em PDF
</h4>

O PDF gerado inclui:

* Uma **capa** com o nome do relatório, a data de geração, a contagem total de issues e o tempo médio de remediação
* **Gráficos** iguais aos do dashboard interativo: total de issues, distribuição por severidade, MTTR, principais classes de vulnerabilidade e tendência de issues ao longo do tempo
* Uma **tabela de principais issues** listando os achados com maior pontuação (até 500), com severidade, pontuação, título, repositório, classe de vulnerabilidade, status e data de detecção

Você pode opcionalmente definir um nome de relatório personalizado e escolher quantas issues principais incluir na tabela (padrão: 100, máximo: 500). Se o número total de issues exceder o limite da tabela, o PDF inclui uma nota indicando quantas issues foram omitidas.

Todas as exportações respeitam seus filtros ativos, de modo que o arquivo baixado reflete exatamente o que você vê na tela. Isso é útil para compartilhar retratos da postura de segurança com stakeholders que não têm acesso ao dashboard.

<Note>
  Exportar relatórios personalizados exige a permissão **Custom Report View**.
</Note>

<h3 id="filter-schema-discovery">
  Descoberta do Schema de Filtros
</h3>

Você pode recuperar programaticamente a lista completa de campos de filtro disponíveis e seus valores válidos por meio do endpoint de schema de filtros. Isso é útil ao construir integrações ou dashboards personalizados, pois permite descobrir quais filtros são suportados e quais operadores cada filtro aceita, sem precisar codificar manualmente as definições de filtro.

<h2 id="report-contents">
  Conteúdo dos Relatórios
</h2>

<h3 id="scan-report-docx">
  Relatório de Scan (DOCX)
</h3>

* Resumo executivo com as contagens de achados por severidade
* Metadados do repositório e do scan (branch, commit, data)
* Lista detalhada de achados com:
  * Título, severidade, pontuação de confiança
  * Arquivo afetado e intervalo de linhas
  * Descrição da vulnerabilidade e orientações de remediação
  * Classificações CWE

<h3 id="organization-summary">
  Resumo da Organização
</h3>

* Estatísticas agregadas de todos os repositórios
* Tendências de achados e distribuição por severidade
* Detalhamento por repositório
* Principais vulnerabilidades por impacto

<h3 id="sbom-export">
  Exportação de SBOM
</h3>

* Formato CycloneDX JSON
* Inventário completo de dependências do scan de SCA (quando disponível)
* Metadados de pacotes, licenças e relações de dependência
* Você pode gerar um SBOM a partir de qualquer scan concluído — um scan de SCA é incluído automaticamente se disponível, mas não é obrigatório
* A geração do SBOM normalmente leva menos de um minuto. Mantenha o diálogo aberto enquanto ela é concluída.
* Consulte [Exportações de SBOM de SCA](/pt/sca/sbom-exports) para mais detalhes
