> ## Documentation Index
> Fetch the complete documentation index at: https://zeropath.com/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Visão Geral do SCA

> Como o ZeroPath descobre, prioriza e corrige riscos na sua cadeia de suprimentos de software

A Análise de Composição de Software (SCA) do ZeroPath mapeia cada dependência que
o seu código utiliza — direta e transitiva —, compara-a com vulnerabilidades
conhecidas e dados de licença, e avalia se o código vulnerável é de fato alcançável
na sua aplicação — invocado, e não apenas importado. Alcançabilidade e
explorabilidade são sinais assistidos por IA que ajudam você a triar primeiro as
descobertas com maior probabilidade de importar.
Descobertas de dependências, exposição de licenças, um inventário de componentes
de IA e a saúde da cobertura de scans vivem juntos na página **Supply Chain**.

Esta visão geral explica as partes envolvidas em alto nível e aponta para uma
página dedicada a cada funcionalidade.

<h2 id="what-zeropath-sca-gives-you">
  O que o SCA do ZeroPath oferece
</h2>

<Columns cols={2}>
  <Card title="Ecossistemas suportados e cobertura" icon="boxes-stacked" href="/pt/sca/ecosystems">
    Resolução de dependências em 13 ecossistemas, e exatamente o que cada um
    precisa para cobertura transitiva completa.
  </Card>

  <Card title="Alcançabilidade e sinais de exploit" icon="route" href="/pt/sca/reachability">
    Se o caminho de código vulnerável é realmente invocado, além de inteligência
    de exploits CISA KEV e FIRST EPSS para priorização.
  </Card>

  <Card title="Cobertura e avisos" icon="gauge-high" href="/pt/sca/coverage">
    Quão completamente sua cadeia de suprimentos foi escaneada, e como eliminar
    as lacunas restantes.
  </Card>

  <Card title="Conformidade de licenças" icon="scale-balanced" href="/pt/sca/licenses">
    Licenças SPDX por pacote, enriquecidas e agrupadas em categorias
    informativas de obrigações, para que as revisões jurídicas e de conformidade
    partam dos mesmos dados que os scanners usaram.
  </Card>

  <Card title="Inventário de IA (AI-BOM)" icon="robot" href="/pt/sca/ai-inventory">
    Uma lista de materiais para a IA no seu código: SDKs, frameworks de agentes,
    servidores MCP, arquivos de modelo e configurações de agentes.
  </Card>

  <Card title="Correção automática e alertas" icon="code-pull-request" href="/pt/sca/remediation">
    PRs de upgrade automáticos com seleção de versão segura, além de alertas
    proativos de CVE para pacotes dos quais você já depende.
  </Card>

  <Card title="Raio de impacto" icon="explosion" href="/pt/sca/blast-radius">
    Quais pontos de chamada no seu código um upgrade realmente afeta,
    classificados por risco e anexados a cada patch.
  </Card>

  <Card title="Exportações de SBOM" icon="file-export" href="/pt/sca/sbom-exports">
    Artefatos CycloneDX, SPDX, VEX e ML-BOM gerados a partir do mesmo
    inventário que a interface exibe.
  </Card>

  <Card title="Escaneamento de contêineres" icon="box" href="/pt/scanning/container-scanning">
    Escaneie imagens de contêiner construídas em busca de vulnerabilidades em
    pacotes do SO e dependências embutidas, com descobertas por camada,
    orientação de upgrade de imagem base e um painel dedicado.
  </Card>
</Columns>

<h2 id="how-dependency-data-gets-in">
  Como os dados de dependências entram
</h2>

O ZeroPath constrói seu inventário a partir dos seus scans. Há três maneiras de
uma dependência acabar sendo analisada:

<Tabs>
  <Tab title="Scan completo com SCA">
    O SCA vem habilitado por padrão nas configurações do scanner, então todo scan
    completo também analisa manifestos e lockfiles. As descobertas de dependências
    aparecem tanto na página **Issues** quanto na página **Supply Chain**, ao lado
    dos seus resultados de SAST e demais resultados.
  </Tab>

  <Tab title="Scan de SCA agendado">
    Configure um scan apenas de dependências em qualquer cadência cron,
    independente dos scans completos, para manter seu inventário atualizado entre
    pushes de código. Scans agendados são incrementais: quando seu código não
    mudou desde a última execução, o ZeroPath reutiliza a resolução anterior e se
    concentra no que é novo. Um advisory recém-publicado ainda pode gerar uma
    descoberta em código inalterado. Os resultados aparecem na página
    **Supply Chain**.
  </Tab>

  <Tab title="Scan de pull request">
    Scans de PR analisam as dependências tocadas por um diff, de modo que um novo
    pacote arriscado ou um bump de versão é detectado no momento da revisão.
  </Tab>
</Tabs>

<Info>
  A página Supply Chain pode mostrar **mais** descobertas de dependências do que a
  página Issues. Isso é esperado: scans de SCA agendados rodam na sua própria
  cadência e podem revelar problemas que um scan completo ainda não capturou. Para
  a visão mais completa da sua postura de dependências, use a página Supply Chain.
</Info>

<h2 id="the-supply-chain-page">
  A página Supply Chain
</h2>

A página Supply Chain é o painel dedicado de SCA. Ela é organizada em torno de
quatro perguntas, e as páginas de aprofundamento acima correspondem a elas:

* **Onde eu estou?** — um resumo de postura: cobertura de scans, explorabilidade
  e o que corrigir primeiro.
* **O que devo corrigir?** — descobertas de dependências, visualizáveis como
  ocorrências individuais ou agrupadas por CVE em todos os repositórios
  afetados. Filtre por severidade, ecossistema e
  [alcançabilidade](/pt/sca/reachability). Quando uma integração com o Wiz está
  conectada, você também pode filtrar por exposição na nuvem para priorizar
  pacotes em aplicações expostas à internet.
* **O que há na minha cadeia de suprimentos?** — o inventário:
  [dependências](/pt/sca/ecosystems), [licenças](/pt/sca/licenses) e
  [componentes de IA](/pt/sca/ai-inventory). Pacotes transitivos exibem um ícone
  de caminho de dependência para que você veja quais dependências pai os trazem.
* **Quão completo foi o scan?** — [cobertura](/pt/sca/coverage): quais manifestos
  foram resolvidos, quais não foram, e os avisos que explicam eventuais lacunas.

Cada descoberta é enriquecida com [inteligência de exploits](/pt/sca/reachability)
do mundo real: CISA KEV (exploração conhecida) e FIRST EPSS (probabilidade de
exploração), para que você priorize o que está sendo ativamente explorado. A
resposta da API de detalhe do issue agora inclui esses sinais diretamente em cada
vulnerabilidade de SCA: `isKnownExploited`, `kevDateAdded`, `kevKnownRansomware`,
`epssScore` e `epssPercentile` — assim, integrações e automações podem consumir a
inteligência de exploits sem uma consulta separada. As descobertas linkam para o
advisory upstream e mostram o CVE associado. Quando uma descoberta de dependência
está vinculada a uma descoberta de SAST, a pontuação dessa descoberta define sua
severidade, mantendo as páginas Issues e Supply Chain consistentes.

<Note>
  O painel Supply Chain está em **Early Access** e seu layout ainda está evoluindo;
  este guia se refere a funcionalidades em vez de nomes específicos de abas.
</Note>

<h2 id="end-to-end-per-scan">
  De ponta a ponta, por scan
</h2>

<Steps>
  <Step title="Checkout">
    O ZeroPath clona o repositório e fixa o commit para que os resultados sejam
    consistentes entre scans.
  </Step>

  <Step title="Descoberta de aplicações">
    Um analisador assistido por IA mapeia seus serviços e módulos (por exemplo,
    `/apps/payments`) para que cada dependência seja atribuída à aplicação que a
    utiliza.
  </Step>

  <Step title="Resolução de dependências">
    Manifestos e lockfiles são convertidos em um grafo de pacotes diretos e
    transitivos, com versões, caminhos de dependência e sinais de licença.
    Projetos Maven agora incluem cadeias completas de caminho de dependência
    transitiva, para que você rastreie como um pacote transitivo vulnerável entra
    no seu build por meio de suas dependências pai. Um `requirements.txt`
    totalmente fixado com `==` é tratado como equivalente a um lockfile e é
    resolvido de forma determinística sem exigir um lockfile separado. Veja
    [Ecossistemas suportados](/pt/sca/ecosystems) para o que cada ecossistema
    precisa.
  </Step>

  <Step title="Enriquecimento de licenças">
    Licenças declaradas em manifestos são enriquecidas e registradas como uma
    string de licença SPDX normalizada por pacote. Veja
    [Conformidade de licenças](/pt/sca/licenses).
  </Step>

  <Step title="Análise de alcançabilidade">
    Para cada pacote vulnerável, o ZeroPath avalia se o caminho de código
    vulnerável é de fato alcançável. Scans completos usam um modelo de raciocínio
    mais profundo para a avaliação de explorabilidade, melhorando a precisão em
    investigações de vulnerabilidades complexas com múltiplas etapas. Quando uma
    avaliação não pode ser concluída, a descoberta é exibida como
    **Pending Review** em vez de descartada silenciosamente, para que nenhum
    advisory investigado fique sem relato. Veja
    [Alcançabilidade](/pt/sca/reachability).
  </Step>

  <Step title="Inventário, descobertas e exportações">
    O inventário normalizado, o mapa de aplicações e as descobertas validadas são
    armazenados uma única vez, de modo que a interface, as APIs, as
    [exportações de SBOM](/pt/sca/sbom-exports) e os alertas partem todos de uma
    única fonte de verdade.
  </Step>
</Steps>

<h2 id="getting-started">
  Primeiros passos
</h2>

<Steps>
  <Step title="Mantenha o SCA habilitado">
    As configurações do scanner incluem o SCA por padrão — deixe-o ativado para
    que todo scan completo colete descobertas de dependências.
  </Step>

  <Step title="Adicione um scan de SCA recorrente">
    Agende um scan apenas de dependências (diário/semanal) para que seu
    inventário fique atualizado entre scans completos, e aponte-o para os
    branches que você realmente implanta.
  </Step>

  <Step title="Elimine lacunas de cobertura">
    Confira a visão de [cobertura](/pt/sca/coverage) e faça commit de quaisquer
    lockfiles faltantes para que as dependências transitivas sejam totalmente
    resolvidas.
  </Step>

  <Step title="Ative a correção onde fizer sentido">
    Habilite a [correção automática e os alertas de CVE](/pt/sca/remediation) com
    limiares alinhados à sua tolerância a risco.
  </Step>

  <Step title="Configure os SBOMs">
    Uma vez que os inventários existam, gere
    [exportações CycloneDX/SPDX/VEX/ML-BOM](/pt/sca/sbom-exports) para
    procurement, conformidade ou ferramentas downstream.
  </Step>
</Steps>
