> ## Documentation Index
> Fetch the complete documentation index at: https://zeropath.com/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Auto-remediação e Alertas

> PRs de upgrade automáticos com seleção de versão segura e alertas proativos de CVE para pacotes dos quais você já depende

Quando o ZeroPath encontra uma dependência vulnerável, ele pode abrir um pull
request de upgrade que seleciona uma versão que resolve o problema sem piorar sua
postura de segurança, e pode alertá-lo quando um novo advisory atinge um pacote
que você já distribui.

<h2 id="auto-remediation">
  Auto-remediação
</h2>

O ZeroPath pode abrir PRs de upgrade de dependência automaticamente, controlados
por um limiar de score que você define.

* **PRs de dependências diretas** — habilite `autoCreateDirectPackagePRs` e
  defina o score mínimo que deve ser atingido antes que uma correção seja
  proposta. O ZeroPath abre o branch, aplica o bump de versão e o vincula ao
  achado de origem.
* **Remediação de transitivas** — gerencie dependências indiretas separadamente
  com `autoCreateTransitivePackagePRs` e seu próprio limiar. O ZeroPath percorre
  a cadeia de dependências até o pai direto mais próximo que consegue atualizar,
  mesmo através de cadeias transitivas de múltiplos saltos.
* **Controle por score** — como cada configuração tem seu próprio score mínimo,
  CVEs críticos podem ser auto-remediados imediatamente enquanto correções de
  menor risco permanecem manuais.
* **Direcionamento por branch** — todo scan agendado registra o branch em que
  foi executado, então você pode direcionar a remediação para branches de release
  sem tocar nos experimentais.

<h3 id="choosing-a-safe-upgrade">
  Escolhendo um upgrade seguro
</h3>

O ZeroPath seleciona um alvo de upgrade em vez de sempre adotar a versão mais
recente. Primeiro ele procura a versão mais próxima com **zero CVEs conhecidos**.
Se nenhuma existir, recorre à versão mais próxima que corrige a vulnerabilidade
específica **sem introduzir novos CVEs** aos quais você ainda não está exposto.
Ele evita saltos impraticáveis de versão major. A seleção é feita contra os dados
de advisories atuais, portanto não pode considerar vulnerabilidades divulgadas
depois que o upgrade é proposto.

<Tip>
  Todo PR de upgrade é acompanhado da análise de [blast radius](/pt/sca/blast-radius),
  que classifica os call sites no seu código que a nova versão afeta, para que os
  revisores possam focar nos mais propensos a quebrar antes do merge. O blast
  radius é estático e tem pontos cegos conhecidos; veja a página para detalhes.
</Tip>

<h3 id="when-a-clean-upgrade-doesn-t-exist">
  Quando não existe um upgrade limpo
</h3>

* **Orientação de remediação** — quando uma vulnerabilidade não pode ser
  corrigida automaticamente (nenhuma versão segura, ou a correção exige mudanças
  arquiteturais), o ZeroPath fornece instruções passo a passo para que um
  desenvolvedor saiba exatamente o que fazer manualmente.
* **Geração forçada** — para um achado marcado como não corrigível, você pode
  sobrescrever o veredito e pedir ao agente de patches o controle compensatório
  de menor blast radius que ele conseguir produzir — uma verificação de
  autorização, uma feature flag ou uma guarda defensiva em torno do seu uso do
  pacote. Isso reduz a exposição, mas não remove a dependência vulnerável; o
  advisory permanece no seu inventário até que exista um upgrade real.
* **Entrega confiável** — se uma execução de patch termina sem escrever nenhuma
  edição, o ZeroPath a repete automaticamente uma vez, para que um patch vazio
  não chegue à sua fila de revisão.

<h3 id="linking-to-your-tracker">
  Vinculando ao seu tracker
</h3>

Se os achados estiverem vinculados a issues do Jira, você pode usar os
placeholders `{jira_id}`, `{jira_url}` e `{jira_title}` nos seus templates
personalizados de título de PR, descrição, nome de branch e mensagem de commit.
O ZeroPath os preenche automaticamente, de modo que cada PR de remediação aponta
de volta para a issue correspondente no tracker.

<h2 id="cve-alerting">
  Alertas de CVE
</h2>

Os alertas de CVE notificam você proativamente quando uma nova vulnerabilidade é
descoberta em um pacote do qual você já depende, sem esperar a próxima execução
de scan.

* **Habilite por repositório** — ative `enableCVEAlerting` nas configurações de
  scanner de um repositório para começar a receber alertas.
* **Agrupados por advisory** — os alertas aparecem na visualização por advisory
  da página Supply Chain, onde o mesmo advisory é agrupado entre todos os
  repositórios afetados. A maioria dos advisories carrega um CVE, e advisories
  sem CVE também são incluídos.
* **Repositórios afetados** — cada alerta mostra onde o pacote vulnerável foi
  detectado (o primeiro repositório inline, com um badge `+N` para os demais).
* **Detalhamento por alcançabilidade** — cada alerta agrupa os achados afetados
  conforme o ZeroPath conseguiu ou não alcançar o código vulnerável a partir da
  sua aplicação (Likely exploitable / Needs review / Likely not exploitable).
  Alcançabilidade é um sinal forte de priorização, não uma prova de
  explorabilidade — um achado alcançável ainda pode exigir entradas específicas
  para ser acionado, e um não alcançável tem risco menor, não risco zero. Clique
  em uma contagem para ir aos achados correspondentes.
* **Status de triagem** — filtre alertas por status (new / acknowledged) enquanto
  os processa.

<Info>
  Os alertas de CVE precisam ser habilitados explicitamente por repositório.
  Repositórios sem essa opção não gerarão alertas, mesmo com o scanning de SCA
  ativo.
</Info>

<Note>
  As avaliações de alcançabilidade e explorabilidade são assistidas por IA e
  probabilísticas. Para vulnerabilidades críticas de supply chain, confirme a
  avaliação antes de usá-la para despriorizar um achado ou fazer merge automático
  de uma correção.
</Note>

<h3 id="accuracy-safeguards">
  Salvaguardas de precisão
</h3>

* **Filtragem de advisories multipacote** — quando um advisory cobre múltiplos
  pacotes, o ZeroPath verifica se a entrada afetada corresponde ao seu pacote
  antes de emitir um alerta, eliminando os falsos positivos que advisories
  amplos de múltiplos pacotes produziriam.
* **Controle de ruído** — o pipeline ignora atualizações de advisory que só
  alteram metadados (um ajuste de CVSS ou uma nova URL de referência) e só
  reprocessa um CVE quando seus pacotes afetados ou faixas de versão realmente
  mudam. Falhas transitórias de processamento são repetidas automaticamente e
  não travam os alertas dos demais advisories.
