Saltar para o conteúdo principal
Quando o ZeroPath encontra uma dependência vulnerável, ele pode abrir um pull request de upgrade que seleciona uma versão que resolve o problema sem piorar sua postura de segurança, e pode alertá-lo quando um novo advisory atinge um pacote que você já distribui.

Auto-remediação

O ZeroPath pode abrir PRs de upgrade de dependência automaticamente, controlados por um limiar de score que você define.
  • PRs de dependências diretas — habilite autoCreateDirectPackagePRs e defina o score mínimo que deve ser atingido antes que uma correção seja proposta. O ZeroPath abre o branch, aplica o bump de versão e o vincula ao achado de origem.
  • Remediação de transitivas — gerencie dependências indiretas separadamente com autoCreateTransitivePackagePRs e seu próprio limiar. O ZeroPath percorre a cadeia de dependências até o pai direto mais próximo que consegue atualizar, mesmo através de cadeias transitivas de múltiplos saltos.
  • Controle por score — como cada configuração tem seu próprio score mínimo, CVEs críticos podem ser auto-remediados imediatamente enquanto correções de menor risco permanecem manuais.
  • Direcionamento por branch — todo scan agendado registra o branch em que foi executado, então você pode direcionar a remediação para branches de release sem tocar nos experimentais.

Escolhendo um upgrade seguro

O ZeroPath seleciona um alvo de upgrade em vez de sempre adotar a versão mais recente. Primeiro ele procura a versão mais próxima com zero CVEs conhecidos. Se nenhuma existir, recorre à versão mais próxima que corrige a vulnerabilidade específica sem introduzir novos CVEs aos quais você ainda não está exposto. Ele evita saltos impraticáveis de versão major. A seleção é feita contra os dados de advisories atuais, portanto não pode considerar vulnerabilidades divulgadas depois que o upgrade é proposto.
Todo PR de upgrade é acompanhado da análise de blast radius, que classifica os call sites no seu código que a nova versão afeta, para que os revisores possam focar nos mais propensos a quebrar antes do merge. O blast radius é estático e tem pontos cegos conhecidos; veja a página para detalhes.

Quando não existe um upgrade limpo

  • Orientação de remediação — quando uma vulnerabilidade não pode ser corrigida automaticamente (nenhuma versão segura, ou a correção exige mudanças arquiteturais), o ZeroPath fornece instruções passo a passo para que um desenvolvedor saiba exatamente o que fazer manualmente.
  • Geração forçada — para um achado marcado como não corrigível, você pode sobrescrever o veredito e pedir ao agente de patches o controle compensatório de menor blast radius que ele conseguir produzir — uma verificação de autorização, uma feature flag ou uma guarda defensiva em torno do seu uso do pacote. Isso reduz a exposição, mas não remove a dependência vulnerável; o advisory permanece no seu inventário até que exista um upgrade real.
  • Entrega confiável — se uma execução de patch termina sem escrever nenhuma edição, o ZeroPath a repete automaticamente uma vez, para que um patch vazio não chegue à sua fila de revisão.

Vinculando ao seu tracker

Se os achados estiverem vinculados a issues do Jira, você pode usar os placeholders {jira_id}, {jira_url} e {jira_title} nos seus templates personalizados de título de PR, descrição, nome de branch e mensagem de commit. O ZeroPath os preenche automaticamente, de modo que cada PR de remediação aponta de volta para a issue correspondente no tracker.

Alertas de CVE

Os alertas de CVE notificam você proativamente quando uma nova vulnerabilidade é descoberta em um pacote do qual você já depende, sem esperar a próxima execução de scan.
  • Habilite por repositório — ative enableCVEAlerting nas configurações de scanner de um repositório para começar a receber alertas.
  • Agrupados por advisory — os alertas aparecem na visualização por advisory da página Supply Chain, onde o mesmo advisory é agrupado entre todos os repositórios afetados. A maioria dos advisories carrega um CVE, e advisories sem CVE também são incluídos.
  • Repositórios afetados — cada alerta mostra onde o pacote vulnerável foi detectado (o primeiro repositório inline, com um badge +N para os demais).
  • Detalhamento por alcançabilidade — cada alerta agrupa os achados afetados conforme o ZeroPath conseguiu ou não alcançar o código vulnerável a partir da sua aplicação (Likely exploitable / Needs review / Likely not exploitable). Alcançabilidade é um sinal forte de priorização, não uma prova de explorabilidade — um achado alcançável ainda pode exigir entradas específicas para ser acionado, e um não alcançável tem risco menor, não risco zero. Clique em uma contagem para ir aos achados correspondentes.
  • Status de triagem — filtre alertas por status (new / acknowledged) enquanto os processa.
Os alertas de CVE precisam ser habilitados explicitamente por repositório. Repositórios sem essa opção não gerarão alertas, mesmo com o scanning de SCA ativo.
As avaliações de alcançabilidade e explorabilidade são assistidas por IA e probabilísticas. Para vulnerabilidades críticas de supply chain, confirme a avaliação antes de usá-la para despriorizar um achado ou fazer merge automático de uma correção.

Salvaguardas de precisão

  • Filtragem de advisories multipacote — quando um advisory cobre múltiplos pacotes, o ZeroPath verifica se a entrada afetada corresponde ao seu pacote antes de emitir um alerta, eliminando os falsos positivos que advisories amplos de múltiplos pacotes produziriam.
  • Controle de ruído — o pipeline ignora atualizações de advisory que só alteram metadados (um ajuste de CVSS ou uma nova URL de referência) e só reprocessa um CVE quando seus pacotes afetados ou faixas de versão realmente mudam. Falhas transitórias de processamento são repetidas automaticamente e não travam os alertas dos demais advisories.