Auto-remediação
O ZeroPath pode abrir PRs de upgrade de dependência automaticamente, controlados por um limiar de score que você define.- PRs de dependências diretas — habilite
autoCreateDirectPackagePRse defina o score mínimo que deve ser atingido antes que uma correção seja proposta. O ZeroPath abre o branch, aplica o bump de versão e o vincula ao achado de origem. - Remediação de transitivas — gerencie dependências indiretas separadamente
com
autoCreateTransitivePackagePRse seu próprio limiar. O ZeroPath percorre a cadeia de dependências até o pai direto mais próximo que consegue atualizar, mesmo através de cadeias transitivas de múltiplos saltos. - Controle por score — como cada configuração tem seu próprio score mínimo, CVEs críticos podem ser auto-remediados imediatamente enquanto correções de menor risco permanecem manuais.
- Direcionamento por branch — todo scan agendado registra o branch em que foi executado, então você pode direcionar a remediação para branches de release sem tocar nos experimentais.
Escolhendo um upgrade seguro
O ZeroPath seleciona um alvo de upgrade em vez de sempre adotar a versão mais recente. Primeiro ele procura a versão mais próxima com zero CVEs conhecidos. Se nenhuma existir, recorre à versão mais próxima que corrige a vulnerabilidade específica sem introduzir novos CVEs aos quais você ainda não está exposto. Ele evita saltos impraticáveis de versão major. A seleção é feita contra os dados de advisories atuais, portanto não pode considerar vulnerabilidades divulgadas depois que o upgrade é proposto.Quando não existe um upgrade limpo
- Orientação de remediação — quando uma vulnerabilidade não pode ser corrigida automaticamente (nenhuma versão segura, ou a correção exige mudanças arquiteturais), o ZeroPath fornece instruções passo a passo para que um desenvolvedor saiba exatamente o que fazer manualmente.
- Geração forçada — para um achado marcado como não corrigível, você pode sobrescrever o veredito e pedir ao agente de patches o controle compensatório de menor blast radius que ele conseguir produzir — uma verificação de autorização, uma feature flag ou uma guarda defensiva em torno do seu uso do pacote. Isso reduz a exposição, mas não remove a dependência vulnerável; o advisory permanece no seu inventário até que exista um upgrade real.
- Entrega confiável — se uma execução de patch termina sem escrever nenhuma edição, o ZeroPath a repete automaticamente uma vez, para que um patch vazio não chegue à sua fila de revisão.
Vinculando ao seu tracker
Se os achados estiverem vinculados a issues do Jira, você pode usar os placeholders{jira_id}, {jira_url} e {jira_title} nos seus templates
personalizados de título de PR, descrição, nome de branch e mensagem de commit.
O ZeroPath os preenche automaticamente, de modo que cada PR de remediação aponta
de volta para a issue correspondente no tracker.
Alertas de CVE
Os alertas de CVE notificam você proativamente quando uma nova vulnerabilidade é descoberta em um pacote do qual você já depende, sem esperar a próxima execução de scan.- Habilite por repositório — ative
enableCVEAlertingnas configurações de scanner de um repositório para começar a receber alertas. - Agrupados por advisory — os alertas aparecem na visualização por advisory da página Supply Chain, onde o mesmo advisory é agrupado entre todos os repositórios afetados. A maioria dos advisories carrega um CVE, e advisories sem CVE também são incluídos.
- Repositórios afetados — cada alerta mostra onde o pacote vulnerável foi
detectado (o primeiro repositório inline, com um badge
+Npara os demais). - Detalhamento por alcançabilidade — cada alerta agrupa os achados afetados conforme o ZeroPath conseguiu ou não alcançar o código vulnerável a partir da sua aplicação (Likely exploitable / Needs review / Likely not exploitable). Alcançabilidade é um sinal forte de priorização, não uma prova de explorabilidade — um achado alcançável ainda pode exigir entradas específicas para ser acionado, e um não alcançável tem risco menor, não risco zero. Clique em uma contagem para ir aos achados correspondentes.
- Status de triagem — filtre alertas por status (new / acknowledged) enquanto os processa.
Os alertas de CVE precisam ser habilitados explicitamente por repositório.
Repositórios sem essa opção não gerarão alertas, mesmo com o scanning de SCA
ativo.
As avaliações de alcançabilidade e explorabilidade são assistidas por IA e
probabilísticas. Para vulnerabilidades críticas de supply chain, confirme a
avaliação antes de usá-la para despriorizar um achado ou fazer merge automático
de uma correção.
Salvaguardas de precisão
- Filtragem de advisories multipacote — quando um advisory cobre múltiplos pacotes, o ZeroPath verifica se a entrada afetada corresponde ao seu pacote antes de emitir um alerta, eliminando os falsos positivos que advisories amplos de múltiplos pacotes produziriam.
- Controle de ruído — o pipeline ignora atualizações de advisory que só alteram metadados (um ajuste de CVSS ou uma nova URL de referência) e só reprocessa um CVE quando seus pacotes afetados ou faixas de versão realmente mudam. Falhas transitórias de processamento são repetidas automaticamente e não travam os alertas dos demais advisories.