Saltar para o conteúdo principal
A Análise de Composição de Software (SCA) do ZeroPath mapeia cada dependência que o seu código utiliza — direta e transitiva —, compara-a com vulnerabilidades conhecidas e dados de licença, e avalia se o código vulnerável é de fato alcançável na sua aplicação — invocado, e não apenas importado. Alcançabilidade e explorabilidade são sinais assistidos por IA que ajudam você a triar primeiro as descobertas com maior probabilidade de importar. Descobertas de dependências, exposição de licenças, um inventário de componentes de IA e a saúde da cobertura de scans vivem juntos na página Supply Chain. Esta visão geral explica as partes envolvidas em alto nível e aponta para uma página dedicada a cada funcionalidade.

O que o SCA do ZeroPath oferece

Ecossistemas suportados e cobertura

Resolução de dependências em 13 ecossistemas, e exatamente o que cada um precisa para cobertura transitiva completa.

Alcançabilidade e sinais de exploit

Se o caminho de código vulnerável é realmente invocado, além de inteligência de exploits CISA KEV e FIRST EPSS para priorização.

Cobertura e avisos

Quão completamente sua cadeia de suprimentos foi escaneada, e como eliminar as lacunas restantes.

Conformidade de licenças

Licenças SPDX por pacote, enriquecidas e agrupadas em categorias informativas de obrigações, para que as revisões jurídicas e de conformidade partam dos mesmos dados que os scanners usaram.

Inventário de IA (AI-BOM)

Uma lista de materiais para a IA no seu código: SDKs, frameworks de agentes, servidores MCP, arquivos de modelo e configurações de agentes.

Correção automática e alertas

PRs de upgrade automáticos com seleção de versão segura, além de alertas proativos de CVE para pacotes dos quais você já depende.

Raio de impacto

Quais pontos de chamada no seu código um upgrade realmente afeta, classificados por risco e anexados a cada patch.

Exportações de SBOM

Artefatos CycloneDX, SPDX, VEX e ML-BOM gerados a partir do mesmo inventário que a interface exibe.

Escaneamento de contêineres

Escaneie imagens de contêiner construídas em busca de vulnerabilidades em pacotes do SO e dependências embutidas, com descobertas por camada, orientação de upgrade de imagem base e um painel dedicado.

Como os dados de dependências entram

O ZeroPath constrói seu inventário a partir dos seus scans. Há três maneiras de uma dependência acabar sendo analisada:
O SCA vem habilitado por padrão nas configurações do scanner, então todo scan completo também analisa manifestos e lockfiles. As descobertas de dependências aparecem tanto na página Issues quanto na página Supply Chain, ao lado dos seus resultados de SAST e demais resultados.
A página Supply Chain pode mostrar mais descobertas de dependências do que a página Issues. Isso é esperado: scans de SCA agendados rodam na sua própria cadência e podem revelar problemas que um scan completo ainda não capturou. Para a visão mais completa da sua postura de dependências, use a página Supply Chain.

A página Supply Chain

A página Supply Chain é o painel dedicado de SCA. Ela é organizada em torno de quatro perguntas, e as páginas de aprofundamento acima correspondem a elas:
  • Onde eu estou? — um resumo de postura: cobertura de scans, explorabilidade e o que corrigir primeiro.
  • O que devo corrigir? — descobertas de dependências, visualizáveis como ocorrências individuais ou agrupadas por CVE em todos os repositórios afetados. Filtre por severidade, ecossistema e alcançabilidade. Quando uma integração com o Wiz está conectada, você também pode filtrar por exposição na nuvem para priorizar pacotes em aplicações expostas à internet.
  • O que há na minha cadeia de suprimentos? — o inventário: dependências, licenças e componentes de IA. Pacotes transitivos exibem um ícone de caminho de dependência para que você veja quais dependências pai os trazem.
  • Quão completo foi o scan?cobertura: quais manifestos foram resolvidos, quais não foram, e os avisos que explicam eventuais lacunas.
Cada descoberta é enriquecida com inteligência de exploits do mundo real: CISA KEV (exploração conhecida) e FIRST EPSS (probabilidade de exploração), para que você priorize o que está sendo ativamente explorado. A resposta da API de detalhe do issue agora inclui esses sinais diretamente em cada vulnerabilidade de SCA: isKnownExploited, kevDateAdded, kevKnownRansomware, epssScore e epssPercentile — assim, integrações e automações podem consumir a inteligência de exploits sem uma consulta separada. As descobertas linkam para o advisory upstream e mostram o CVE associado. Quando uma descoberta de dependência está vinculada a uma descoberta de SAST, a pontuação dessa descoberta define sua severidade, mantendo as páginas Issues e Supply Chain consistentes.
O painel Supply Chain está em Early Access e seu layout ainda está evoluindo; este guia se refere a funcionalidades em vez de nomes específicos de abas.

De ponta a ponta, por scan

1

Checkout

O ZeroPath clona o repositório e fixa o commit para que os resultados sejam consistentes entre scans.
2

Descoberta de aplicações

Um analisador assistido por IA mapeia seus serviços e módulos (por exemplo, /apps/payments) para que cada dependência seja atribuída à aplicação que a utiliza.
3

Resolução de dependências

Manifestos e lockfiles são convertidos em um grafo de pacotes diretos e transitivos, com versões, caminhos de dependência e sinais de licença. Projetos Maven agora incluem cadeias completas de caminho de dependência transitiva, para que você rastreie como um pacote transitivo vulnerável entra no seu build por meio de suas dependências pai. Um requirements.txt totalmente fixado com == é tratado como equivalente a um lockfile e é resolvido de forma determinística sem exigir um lockfile separado. Veja Ecossistemas suportados para o que cada ecossistema precisa.
4

Enriquecimento de licenças

Licenças declaradas em manifestos são enriquecidas e registradas como uma string de licença SPDX normalizada por pacote. Veja Conformidade de licenças.
5

Análise de alcançabilidade

Para cada pacote vulnerável, o ZeroPath avalia se o caminho de código vulnerável é de fato alcançável. Scans completos usam um modelo de raciocínio mais profundo para a avaliação de explorabilidade, melhorando a precisão em investigações de vulnerabilidades complexas com múltiplas etapas. Quando uma avaliação não pode ser concluída, a descoberta é exibida como Pending Review em vez de descartada silenciosamente, para que nenhum advisory investigado fique sem relato. Veja Alcançabilidade.
6

Inventário, descobertas e exportações

O inventário normalizado, o mapa de aplicações e as descobertas validadas são armazenados uma única vez, de modo que a interface, as APIs, as exportações de SBOM e os alertas partem todos de uma única fonte de verdade.

Primeiros passos

1

Mantenha o SCA habilitado

As configurações do scanner incluem o SCA por padrão — deixe-o ativado para que todo scan completo colete descobertas de dependências.
2

Adicione um scan de SCA recorrente

Agende um scan apenas de dependências (diário/semanal) para que seu inventário fique atualizado entre scans completos, e aponte-o para os branches que você realmente implanta.
3

Elimine lacunas de cobertura

Confira a visão de cobertura e faça commit de quaisquer lockfiles faltantes para que as dependências transitivas sejam totalmente resolvidas.
4

Ative a correção onde fizer sentido

Habilite a correção automática e os alertas de CVE com limiares alinhados à sua tolerância a risco.
5

Configure os SBOMs

Uma vez que os inventários existam, gere exportações CycloneDX/SPDX/VEX/ML-BOM para procurement, conformidade ou ferramentas downstream.