Como Funciona
O Escaneamento de Contêineres do ZeroPath analisa as imagens de contêiner que você realmente entrega. Em vez de inspecionar apenas o código-fonte a partir do qual um repositório é construído, ele examina uma imagem construída — obtida por sua referência de registro ou enviada como um arquivo local — analisando o sistema operacional e tudo o que está empacotado sobre ele em busca de vulnerabilidades conhecidas. Imagens públicas, registros privados (com credenciais) e imagens air-gapped compartilhadas como um arquivodocker save são todos suportados. As descobertas são exibidas na seção
Supply Chain existente, ao lado da análise de dependências, para que o risco em nível de imagem e em nível de
código-fonte fiquem em um só lugar.
Escaneamento em Nível de Imagem
Escaneia uma imagem construída — obtida por referência de registro, incluindo registros privados com credenciais,
ou enviada como um arquivo local — e analisa os pacotes do sistema operacional e as dependências embutidas nela,
não apenas o código-fonte a partir do qual ela foi construída.
Atribuição por Camada
Vincula cada vulnerabilidade à camada da imagem que a introduziu, para que você possa distinguir problemas herdados
da imagem base daqueles adicionados pelo seu build.
Monitoramento Contínuo
Re-escaneia imagens monitoradas em um cronograma para que CVEs recém-divulgadas apareçam sem uma nova execução manual.
Fluxo de Ponta a Ponta
1
Imagem Enviada
Você aponta o ZeroPath para uma imagem construída. O ZeroPath resolve uma referência de registro e obtém a
imagem — autenticando-se com as credenciais de registro que você fornece para registros privados — ou lê
um arquivo de imagem local que você envia, no caso de imagens air-gapped que não podem ser obtidas de um registro.
2
Extração de Camadas
A imagem é desempacotada camada por camada. O ZeroPath registra qual camada contribui com cada arquivo, para que as
descobertas possam depois ser atribuídas à camada que as introduziu.
3
Inventário de Pacotes
O ZeroPath inventaria os pacotes do sistema operacional e as dependências de aplicação embutidas na
imagem, construindo um panorama completo de tudo o que é entregue dentro dela — incluindo pacotes que nunca
aparecem nos manifestos do seu código-fonte.
4
Correspondência de Vulnerabilidades
Os pacotes inventariados são comparados com inteligência de vulnerabilidades para identificar problemas conhecidos em
pacotes do sistema operacional e dependências embutidas.
5
Descobertas por Camada e Severidade
Cada descoberta é atribuída à camada que a introduziu e recebe uma classificação de severidade (Critical / High /
Medium / Low), para que você veja imediatamente se um problema veio da sua imagem base ou das suas próprias
etapas de build.
6
Orientação de Upgrade de Imagem Base
O ZeroPath detecta a base da imagem e, quando existe uma base estável mais nova da mesma distribuição,
escaneia essa candidata e a recomenda — informando quantas das descobertas atuais o upgrade
removeria, para que você corrija o maior número de vulnerabilidades com o mínimo de mudanças.
7
Resultados Entregues
As descobertas são exibidas na seção Supply Chain no seu dashboard, na API e nas integrações.
As descobertas de escaneamento de contêiner também aparecem na lista principal de Issues junto com os resultados de SAST e SCA, oferecendo uma visão unificada de todas as descobertas de segurança da sua organização.
Imagens monitoradas são reavaliadas conforme seu cronograma à medida que novas vulnerabilidades são divulgadas.
Dashboard de Imagens de Contêiner
A seção Containers está organizada em duas páginas: uma visão geral em Dashboard e uma lista em Images.Dashboard
O Dashboard fornece uma visão geral rápida de todas as imagens de contêiner rastreadas na sua organização, incluindo:- Contagens de imagens — total de imagens rastreadas, quantas são monitoradas em um cronograma, quantas estão sendo escaneadas no momento e quantas tiveram falha no escaneamento mais recente.
- Descobertas por severidade — um detalhamento do total de descobertas no escaneamento mais recente de cada imagem, agrupadas em Critical, High, Medium, Low e Informational.
- Oportunidades de upgrade de imagem base — imagens em que uma base mais nova da mesma distribuição removeria descobertas, classificadas pelo número de descobertas que o upgrade resolve.
- Imagens mais vulneráveis — uma lista classificada das imagens com as maiores contagens de descobertas.
Lista de Imagens
A página Images lista todas as imagens de contêiner rastreadas, com busca, filtros e paginação. As imagens são agrupadas por repositório para que você veja rapidamente quais imagens pertencem a qual projeto; imagens avulsas (não vinculadas a um repositório) ficam reunidas em seu próprio grupo. Você pode enviar novas imagens para escaneamento diretamente dessa página usando o botão Scan image, que abre um diálogo com dois modos:- Registry image — informe uma referência de imagem (ex.:
ghcr.io/acme/api:1.4), forneça opcionalmente credenciais de registro privado e, opcionalmente, defina um cronograma de monitoramento (expressão cron, UTC). - Upload archive — envie um tarball do
docker save(.tar) para imagens que não podem ser obtidas de um registro. Uma barra de progresso acompanha o envio.
Detalhes da Imagem
Clicar em uma imagem abre uma página de detalhes com três abas:- Overview — histograma de severidade (Critical / High / Medium / Low), contagens de descobertas corrigíveis e resolvidas, recomendação de upgrade de imagem base (quando disponível), metadados da imagem (digest, tamanho, data de build, contagem de descobertas, imagem base detectada) e um detalhamento de camadas mostrando quais camadas são da imagem base e quais são camadas da aplicação.
- Vulnerabilities — uma lista pesquisável e filtrável de cada CVE encontrada no escaneamento mais recente da imagem. Você pode buscar por ID de CVE ou nome de pacote e filtrar por severidade (Critical, High), status de corrigibilidade ou status aberto. Clicar em uma CVE abre os detalhes completos da issue com o mesmo fluxo de triagem usado no restante do ZeroPath (mudanças de status, geração de patches, exportação para o Jira etc.). Links diretos para descobertas individuais podem ser compartilhados pela URL.
- Settings — configure um cronograma de monitoramento (expressão cron, UTC) para imagens de registro e vincule ou revincule a imagem a um repositório da sua organização.
- Re-scan now — obter e re-escanear uma imagem de registro imediatamente. (Arquivos enviados não podem ser re-escaneados porque o tarball original não é retido.)
- Delete — remover permanentemente a imagem rastreada e todo o seu histórico de escaneamentos.
Gerenciando Imagens de Contêiner
Pelo dashboard ou pela API, você pode:- Listar imagens com busca e paginação baseada em cursor, opcionalmente filtradas por repositório.
- Ver detalhes da imagem, incluindo o resumo do escaneamento mais recente, o status da fila e o cronograma de monitoramento.
- Habilitar o monitoramento com um cronograma cron para que a imagem seja re-escaneada de forma recorrente.
- Desabilitar o monitoramento para voltar a escanear apenas no envio.
- Vincular a um repositório para reatribuir uma imagem de um repositório a outro (ambos precisam estar na sua organização e ser acessíveis a você).
- Excluir uma imagem para parar de rastreá-la completamente e remover todo o seu histórico de escaneamentos.
Executando Escaneamentos
- Escaneamento Único
- Registro Privado
- Arquivo Local (Air-Gapped)
- Escaneamento Monitorado
Execute um único escaneamento de uma imagem construída para obter um retrato imediato de suas vulnerabilidades. Essa é a
escolha certa para verificações pontuais, gates de CI/CD sobre uma imagem recém-construída ou para avaliar uma imagem antes
de promovê-la.O escaneamento obtém a imagem referenciada, inventaria seus pacotes de sistema operacional e dependências embutidas e
retorna descobertas por camada com orientação de upgrade de imagem base.
Principais Capacidades
Cobertura de Pacotes do Sistema Operacional
Detecta vulnerabilidades conhecidas nos pacotes de sistema instalados na sua imagem base e nas etapas de build.
Detecção de Dependências Embutidas
Encontra dependências de aplicação vulneráveis copiadas ou instaladas na imagem durante o build —
incluindo pacotes que nunca aparecem nos manifestos do seu código-fonte.
Atribuição por Camada
Cada vulnerabilidade é vinculada à camada que a introduziu, distinguindo problemas herdados da imagem
base daqueles adicionados pelo seu build.
Recomendações de Upgrade de Imagem Base
Detecta a base da imagem e, quando existe uma base estável mais nova da mesma distribuição, escaneia essa
candidata e informa quantas descobertas o upgrade removeria — de modo que uma única mudança pode eliminar muitos
problemas de uma vez.
Suporte a Registro Privado
Escaneia imagens em registros privados usando as credenciais de registro que você fornece. As credenciais são enviadas
via TLS e armazenadas criptografadas.
Envio de Arquivo Local
Escaneia imagens air-gapped que não podem ser obtidas de um registro por meio do envio direto de um arquivo
docker save, sem
necessidade de acesso a registro.Monitoramento Agendado
Re-escaneia imagens monitoradas em um cronograma recorrente para que CVEs recém-divulgadas apareçam automaticamente.
Visão Unificada de Supply Chain
Descobertas em nível de imagem aparecem na mesma seção Supply Chain que a análise de dependências, oferecendo o
panorama completo do que é entregue em produção.
Envio de Arquivo via API
Envie um tarball de imagem de contêiner pela API em partes (chunks) para ambientes air-gapped onde
o acesso a registro não está disponível. O fluxo de envio em partes lida com arquivos grandes de forma confiável.
Checklist de Adoção
1
Identifique as Imagens que Você Entrega
Liste as imagens construídas que rodam em produção — esses são os artefatos que o Escaneamento de Contêineres analisa por
referência de registro.
2
Execute um Escaneamento Único
Use
zeropath container test <image> para obter um retrato imediato das vulnerabilidades de uma imagem.3
Revise as Descobertas por Camada
Inspecione as descobertas na seção Supply Chain, usando a atribuição por camada para separar problemas herdados
da imagem base daqueles introduzidos pelo seu build.
4
Aplique as Recomendações de Upgrade de Imagem Base
Quando o ZeroPath recomendar uma base mais nova, avalie quantas descobertas o upgrade removeria e adote-a
para eliminar a maior parcela de descobertas com uma única mudança.
5
Habilite o Monitoramento
Registre as imagens de produção com
zeropath container monitor <image> para que CVEs recém-divulgadas apareçam
automaticamente em um cronograma.