O que o SCA do ZeroPath oferece
Ecossistemas suportados e cobertura
Resolução de dependências em 13 ecossistemas, e exatamente o que cada um
precisa para cobertura transitiva completa.
Alcançabilidade e sinais de exploit
Se o caminho de código vulnerável é realmente invocado, além de inteligência
de exploits CISA KEV e FIRST EPSS para priorização.
Cobertura e avisos
Quão completamente sua cadeia de suprimentos foi escaneada, e como eliminar
as lacunas restantes.
Conformidade de licenças
Licenças SPDX por pacote, enriquecidas e agrupadas em categorias
informativas de obrigações, para que as revisões jurídicas e de conformidade
partam dos mesmos dados que os scanners usaram.
Inventário de IA (AI-BOM)
Uma lista de materiais para a IA no seu código: SDKs, frameworks de agentes,
servidores MCP, arquivos de modelo e configurações de agentes.
Correção automática e alertas
PRs de upgrade automáticos com seleção de versão segura, além de alertas
proativos de CVE para pacotes dos quais você já depende.
Raio de impacto
Quais pontos de chamada no seu código um upgrade realmente afeta,
classificados por risco e anexados a cada patch.
Exportações de SBOM
Artefatos CycloneDX, SPDX, VEX e ML-BOM gerados a partir do mesmo
inventário que a interface exibe.
Escaneamento de contêineres
Escaneie imagens de contêiner construídas em busca de vulnerabilidades em
pacotes do SO e dependências embutidas, com descobertas por camada,
orientação de upgrade de imagem base e um painel dedicado.
Como os dados de dependências entram
O ZeroPath constrói seu inventário a partir dos seus scans. Há três maneiras de uma dependência acabar sendo analisada:- Scan completo com SCA
- Scan de SCA agendado
- Scan de pull request
O SCA vem habilitado por padrão nas configurações do scanner, então todo scan
completo também analisa manifestos e lockfiles. As descobertas de dependências
aparecem tanto na página Issues quanto na página Supply Chain, ao lado
dos seus resultados de SAST e demais resultados.
A página Supply Chain pode mostrar mais descobertas de dependências do que a
página Issues. Isso é esperado: scans de SCA agendados rodam na sua própria
cadência e podem revelar problemas que um scan completo ainda não capturou. Para
a visão mais completa da sua postura de dependências, use a página Supply Chain.
A página Supply Chain
A página Supply Chain é o painel dedicado de SCA. Ela é organizada em torno de quatro perguntas, e as páginas de aprofundamento acima correspondem a elas:- Onde eu estou? — um resumo de postura: cobertura de scans, explorabilidade e o que corrigir primeiro.
- O que devo corrigir? — descobertas de dependências, visualizáveis como ocorrências individuais ou agrupadas por CVE em todos os repositórios afetados. Filtre por severidade, ecossistema e alcançabilidade. Quando uma integração com o Wiz está conectada, você também pode filtrar por exposição na nuvem para priorizar pacotes em aplicações expostas à internet.
- O que há na minha cadeia de suprimentos? — o inventário: dependências, licenças e componentes de IA. Pacotes transitivos exibem um ícone de caminho de dependência para que você veja quais dependências pai os trazem.
- Quão completo foi o scan? — cobertura: quais manifestos foram resolvidos, quais não foram, e os avisos que explicam eventuais lacunas.
isKnownExploited, kevDateAdded, kevKnownRansomware,
epssScore e epssPercentile — assim, integrações e automações podem consumir a
inteligência de exploits sem uma consulta separada. As descobertas linkam para o
advisory upstream e mostram o CVE associado. Quando uma descoberta de dependência
está vinculada a uma descoberta de SAST, a pontuação dessa descoberta define sua
severidade, mantendo as páginas Issues e Supply Chain consistentes.
O painel Supply Chain está em Early Access e seu layout ainda está evoluindo;
este guia se refere a funcionalidades em vez de nomes específicos de abas.
De ponta a ponta, por scan
1
Checkout
O ZeroPath clona o repositório e fixa o commit para que os resultados sejam
consistentes entre scans.
2
Descoberta de aplicações
Um analisador assistido por IA mapeia seus serviços e módulos (por exemplo,
/apps/payments) para que cada dependência seja atribuída à aplicação que a
utiliza.3
Resolução de dependências
Manifestos e lockfiles são convertidos em um grafo de pacotes diretos e
transitivos, com versões, caminhos de dependência e sinais de licença.
Projetos Maven agora incluem cadeias completas de caminho de dependência
transitiva, para que você rastreie como um pacote transitivo vulnerável entra
no seu build por meio de suas dependências pai. Um
requirements.txt
totalmente fixado com == é tratado como equivalente a um lockfile e é
resolvido de forma determinística sem exigir um lockfile separado. Veja
Ecossistemas suportados para o que cada ecossistema
precisa.4
Enriquecimento de licenças
Licenças declaradas em manifestos são enriquecidas e registradas como uma
string de licença SPDX normalizada por pacote. Veja
Conformidade de licenças.
5
Análise de alcançabilidade
Para cada pacote vulnerável, o ZeroPath avalia se o caminho de código
vulnerável é de fato alcançável. Scans completos usam um modelo de raciocínio
mais profundo para a avaliação de explorabilidade, melhorando a precisão em
investigações de vulnerabilidades complexas com múltiplas etapas. Quando uma
avaliação não pode ser concluída, a descoberta é exibida como
Pending Review em vez de descartada silenciosamente, para que nenhum
advisory investigado fique sem relato. Veja
Alcançabilidade.
6
Inventário, descobertas e exportações
O inventário normalizado, o mapa de aplicações e as descobertas validadas são
armazenados uma única vez, de modo que a interface, as APIs, as
exportações de SBOM e os alertas partem todos de uma
única fonte de verdade.
Primeiros passos
1
Mantenha o SCA habilitado
As configurações do scanner incluem o SCA por padrão — deixe-o ativado para
que todo scan completo colete descobertas de dependências.
2
Adicione um scan de SCA recorrente
Agende um scan apenas de dependências (diário/semanal) para que seu
inventário fique atualizado entre scans completos, e aponte-o para os
branches que você realmente implanta.
3
Elimine lacunas de cobertura
Confira a visão de cobertura e faça commit de quaisquer
lockfiles faltantes para que as dependências transitivas sejam totalmente
resolvidas.
4
Ative a correção onde fizer sentido
Habilite a correção automática e os alertas de CVE com
limiares alinhados à sua tolerância a risco.
5
Configure os SBOMs
Uma vez que os inventários existam, gere
exportações CycloneDX/SPDX/VEX/ML-BOM para
procurement, conformidade ou ferramentas downstream.