Como Funciona
O ZeroPath pode gerar automaticamente correções de código para vulnerabilidades detectadas e abrir pull requests com a remediação. O sistema analisa o contexto da vulnerabilidade, escreve uma correção direcionada e a apresenta para sua revisão antes que qualquer mudança chegue ao seu código.- Patches gerados por IA — as correções são geradas por um agente de IA que entende a vulnerabilidade, o código ao redor e o padrão de remediação apropriado.
- Humano no circuito — por padrão, os patches exigem aprovação explícita antes que um PR seja criado. Você revisa o diff, aprova, e o ZeroPath abre o PR.
- Tanto SAST quanto SCA — vulnerabilidades em nível de código recebem correções de código; vulnerabilidades de dependências recebem atualizações de versão com as devidas atualizações de lockfile. PRs de correção automática são suportados para descobertas tanto de SAST quanto de SCA, de modo que patches de vulnerabilidades de dependências seguem o mesmo fluxo de revisão e merge das correções de código.
Solicitando um Patch
- Sob Demanda (Dashboard)
- Automático (durante Escaneamentos)
1
Navegue até uma Descoberta
Abra qualquer descoberta no dashboard do ZeroPath.
2
Gere o Patch
Clique em “Generate Patch” na visão de detalhes da issue. O ZeroPath gera um diff git direcionado à vulnerabilidade.
3
Revise as Mudanças
Revise as mudanças propostas no dashboard.
4
Aprove ou Regenere
Clique em “Approve Patch” para criar um PR, ou em “Regenerate” para tentar novamente.
Pull Requests Automáticos
Quando você aprova um patch (ou quando a geração automática de PRs está habilitada), o ZeroPath:- Cria um novo branch a partir do branch padrão do seu repositório.
- Aplica a correção como um commit com uma mensagem descritiva.
- Abre um pull request com:
- Um título claro descrevendo a correção (ex.: “Fix SQL injection in user authentication handler”)
- Uma descrição cobrindo a vulnerabilidade, a correção, a causa raiz e a abordagem de implementação.
- Vincula o PR de volta à descoberta no ZeroPath para rastreamento.
Solicitando Mudanças Adicionais no GitHub
Depois que o ZeroPath abre um PR de patch no GitHub, os revisores podem solicitar mudanças comentando no PR com@ZeroPath ou @zeropath-ai e uma descrição concreta
da edição. Se o ZeroPath conseguir verificar que o branch atual do PR é
o branch de patch que ele criou, ele faz o commit da mudança solicitada nesse mesmo branch
e responde com um resumo e a referência do commit.
PR comment
Rastreamento do Ciclo de Vida do PR
O ZeroPath rastreia o status dos PRs gerados:- Open — o PR foi criado e aguarda revisão.
- Accepted — o PR foi mesclado. A descoberta associada é automaticamente movida para Resolved.
- Rejected — o PR foi fechado sem merge.
O Que Pode Ser Corrigido Automaticamente
Vulnerabilidades de Código (SAST)
O agente de IA pode gerar correções para a maioria dos problemas de segurança em nível de código, incluindo:- Injeção de SQL
- XSS
- Path traversal
- Injeção de comando
- SSRF
- Criptografia insegura
- Verificações de autenticação/autorização ausentes
- e mais…
Vulnerabilidades de Dependências (SCA)
Para dependências vulneráveis, o ZeroPath:- Consulta os registros de pacotes em busca da versão mais recente não vulnerável.
- Para dependências diretas: atualiza a versão no seu arquivo de manifesto e regenera o lockfile usando o gerenciador de pacotes apropriado.
- Para dependências transitivas: atualiza a dependência direta pai que traz o pacote vulnerável.
- npm / Node.js
- Módulos Go
- Rust / Cargo
- Ruby / Bundler
- Python / Poetry
- Python / pip
- Maven / Gradle
- e mais…
Configuração
As configurações de geração de patches seguem a herança em níveis de organização/tag/repositório:Referências a Tickets do Jira em Templates
Quando uma descoberta tem um ticket do Jira vinculado, você pode referenciá-lo nos templates de título de PR, descrição de PR, nome de branch e mensagem de commit usando os seguintes placeholders:
Por exemplo, um template de nome de branch
fix/{jira_id}/{vuln_class} produziria um branch como fix/PROJ-123/sql-injection quando a descoberta estiver vinculada a um ticket do Jira. Se nenhum ticket do Jira estiver vinculado, os placeholders são omitidos e o template é preenchido apenas com o contexto de vulnerabilidade disponível.
Configurações Específicas de SCA
Solução de Problemas
Erro de Permissão em Workflow do GitHub Actions
Se um patch modificar um arquivo de workflow do GitHub Actions (em.github/workflows/), a criação do PR pode falhar com um erro de permissão. O GitHub exige a permissão workflows para criar ou atualizar arquivos de workflow via API.
Para resolver isso:
- Aplique o patch manualmente — copie as mudanças sugeridas e faça o commit você mesmo.
- Peça a um administrador do repositório para criar o PR — administradores com permissões suficientes podem enviar a mudança de workflow.
- Conceda a permissão de workflows — se a política da sua organização permitir, adicione a permissão
workflowsà instalação do GitHub App do ZeroPath.
Violações de Regras do Repositório
Se o seu repositório tiver regras de proteção de branch que impõem formatos de mensagem de commit ou padrões de nomenclatura de branch, a criação do PR pode falhar. Atualize as regras do seu repositório ou ajuste os formatos de nome de branch e de mensagem de commit dos PRs do ZeroPath nas configurações do scanner e tente novamente.Guia de Adoção
- Comece com patches sob demanda — clique em “Generate Patch” em descobertas individuais para avaliar a qualidade das correções geradas para o seu código.
- Habilite sugestões em PR scans — ative
prScanAutoPatchingpara receber sugestões de correção como comentários inline nos seus pull requests. - Ajuste os limiares — configure os limiares de patch e de PR para focar o auto-patching primeiro nas descobertas de alta severidade.
- Habilite o auto-patching em full scans — quando estiver confortável com a qualidade dos patches, habilite a geração automática de patches para full scans.
- Considere a criação automática de PRs — para equipes com ciclos de revisão rápidos, habilite o auto-PR para que os branches de correção sejam criados automaticamente.