Como Funciona
O SAST (Static Application Security Testing) da ZeroPath usa um pipeline de análise multiestágio baseado em IA para descobrir vulnerabilidades que scanners tradicionais de correspondência de padrões não detectam:Verificação Automatizada
Consciente da Aplicação
/apps/payments) para que as descobertas
sejam associadas ao time correto.Validado por IA
Fluxo de Ponta a Ponta
Checkout do Repositório
Descoberta de Aplicações
Análise de Padrões Multiestágio
Validação por IA e Filtragem de Falsos Positivos
Análise Profunda da Base de Código
Avaliação de Regras Personalizadas
Deduplicação e Pontuação
Entrega de Resultados
Executando Scans
- Scans Completos
- Scans de PR
vendor/, node_modules/ ou generated/, arquivos com sufixos de código gerado (como .pb.go ou _pb2.py) e arquivos cujos cabeçalhos contêm marcadores @generated ou auto-generated. Isso mantém o tempo de scan focado no seu próprio código, em vez de fontes de terceiros ou produzidas por máquina.Quando as alterações desde o último scan são pequenas ou moderadas, a ZeroPath pode usar um modo de rescan inteligente
que avalia apenas o diff. Um agente de IA revisa se as issues existentes ainda estão presentes e
se o novo código introduz alguma vulnerabilidade, entregando resultados significativamente mais rápido
do que uma execução completa do pipeline. O agente de rescan inspeciona as issues por arquivo e as resolve
por intervalo exato de linhas e comportamento, de modo que, se uma vulnerabilidade em um arquivo for corrigida enquanto
outra permanece, apenas a issue corrigida é marcada como resolvida.Para diffs maiores que excedem o limiar de passagem única mas ainda estão dentro do intervalo do
rescan diferencial, a ZeroPath divide automaticamente os arquivos alterados em blocos e os revisa
em paralelo. Cada bloco é analisado de forma independente por sua própria passagem de agente de IA, e os resultados são
reconciliados em um único conjunto de descobertas após a conclusão de todos os blocos. Isso significa que mais rescans
permanecem no caminho diferencial rápido em vez de recorrer a um pipeline completo, reduzindo
significativamente o tempo de scan para conjuntos de alterações de médio a grande porte.Se você tiver configurado regras personalizadas,
sources personalizados ou
sinks personalizados, o agente de rescan
diferencial agora os aplica junto com sua análise de segurança geral. Regras em linguagem natural são
comparadas com seus globs de arquivo configurados, e sources e sinks de taint personalizados são usados
durante o rastreamento de fluxo de dados pelo código alterado — de modo que scans incrementais aplicam as mesmas
políticas específicas da organização que os scans completos.O mecanismo de scan diferencial classifica automaticamente os arquivos alterados para determinar a
estratégia de scan mais eficiente. Quando apenas arquivos de código mudam, a ZeroPath executa apenas o caminho
rápido de rescan. Quando apenas manifestos de dependência ou lockfiles mudam, uma passagem leve de SCA é executada enquanto
as descobertas de SAST são transportadas. Quando tanto arquivos de código quanto de dependência mudam, a ZeroPath executa
o rescan e o SCA juntos — sem acionar um pipeline completo. Arquivos que não são de código, como
lockfiles, source maps, imagens e assets gerados, são excluídos do cálculo do tamanho do diff,
de modo que grandes atualizações de dependências não forçam mais scans completos desnecessários.Quando as configurações do seu scanner mudam entre scans mas o código em si permanece inalterado, a ZeroPath
avalia quais categorias de configuração foram afetadas. Se apenas configurações seguras para rollover mudaram —
como configuração de análise de dependências ou tier de modelo/modo de desempenho — a ZeroPath atualiza
a categoria afetada enquanto transporta as descobertas existentes das outras categorias, evitando
uma execução completa e desnecessária do pipeline. Mudanças de tier de modelo e de modo de alto desempenho são aplicadas
de forma preguiçosa: a nova configuração entra em vigor no próximo scan natural de cada repositório, em vez de
forçar um re-scan completo imediato, e as descobertas anteriores são preservadas nesse meio-tempo.Quando a única mudança de configuração é habilitar ou desabilitar módulos de verificação que não afetam
as descobertas transportadas — como AI Inventory ou SCA — a ZeroPath também usa o caminho rápido de rollover
em vez de um pipeline completo. As descobertas de SCA são recalculadas do zero em cada scan, e o AI
Inventory produz dados de componentes em vez de descobertas de segurança, de modo que adicionar ou remover esses
módulos não altera o conjunto de descobertas de SAST, segredos, IaC ou EOL que são
transportadas. Isso significa que implantações de módulos em toda a frota (por exemplo, habilitar o AI Inventory em
todos os repositórios) não forçam mais um re-scan completo de todos os repositórios inalterados.Habilitar ou desabilitar módulos que produzem descobertas (como Secrets, IaC, EOL ou verificação de
Containers) ainda aciona um rescan completo para garantir cobertura total, assim como qualquer mudança em
regras personalizadas, sources/sinks ou configuração do SAST.Em configurações de monorepo, o agente de rescan tem escopo limitado à partição atual do repositório. Apenas
arquivos e descobertas dentro do escopo de scan configurado são avaliados, evitando interferência entre
partições quando várias equipes compartilham um único repositório.A ZeroPath usa um pipeline de detecção de regressão em três níveis para determinar de forma eficiente se
issues relatadas anteriormente ainda estão presentes após alterações de código:- Caminho rápido determinístico — se nenhum dos arquivos relevantes para uma descoberta mudou entre os commits, a descoberta é transportada instantaneamente, sem nenhuma chamada de IA.
- Revisão estruturada de diff — quando arquivos relevantes mudaram, uma única revisão de IA examina o diff delimitado e as evidências de código para decidir se a issue persiste ou foi corrigida.
- Escalação para agente profundo — somente quando a evidência delimitada é insuficiente a ZeroPath escala para uma investigação agêntica completa, mantendo custos e latência baixos no caso comum.
Categorias de Vulnerabilidade
- Vulnerabilidades Técnicas
- Vulnerabilidades de Lógica de Negócio
Pontuação de Severidade
A ZeroPath usa o CVSS 4.0 como seu padrão principal de pontuação, e também fornece pontuações CVSS 3.1 para compatibilidade com ferramentas e fluxos de trabalho que exigem o padrão mais antigo. Cada descoberta confirmada recebe uma pontuação estruturada com justificativa gerada por IA vinculada diretamente ao código. As descobertas também recebem um ou mais identificadores CWE para classificação precisa da fraqueza. Avaliações CVSS são geradas para quase todas as descobertas de segurança — apenas issues que não são de segurança, como problemas de qualidade ou estilo de código, são excluídas. Descobertas de Segurança de LLM (OWASP LLM Top 10) são pontuadas de forma conservadora: a maioria recebe severidade de 2.0–5.0, a menos que a saída do LLM flua diretamente para um sink perigoso (comoeval, SQL ou um comando de shell) sem nenhuma validação, caso em que o impacto do sink downstream é pontuado. Descobertas de vazamento de prompt de sistema e agência excessiva são tipicamente pontuadas em 1.0–3.0.
Métricas CVSS 4.0 Avaliadas
Métricas CVSS 4.0 Avaliadas
Compatibilidade com CVSS 3.1
Compatibilidade com CVSS 3.1
Cálculo da Pontuação de Prioridade
Cálculo da Pontuação de Prioridade
severity (0–10) × confidence (0–10) = uma escala de 0–100 para classificação e filtragem.Isso significa que uma descoberta de alta severidade com baixa confiança fica abaixo de uma descoberta de severidade média com alta confiança — ajudando você a focar em issues que são ao mesmo tempo impactantes e identificadas com confiabilidade.Para descobertas em que a validação não pôde ser executada (exibidas como Pending Review), a confiança não é definida porque nenhuma avaliação de verdadeiro-positivo foi produzida. Essas descobertas ainda recebem uma pontuação de prioridade derivada apenas da severidade, de modo que aparecem em listas classificadas e exportações em vez de ficarem ocultas.Alterando a Severidade
Alterando a Severidade
- Por pontuação bruta — defina diretamente a severidade de 0–10. A pontuação de prioridade da ZeroPath é recalculada automaticamente.
- Por classificação — defina o rótulo de classificação desejado (Critical, High, Medium, Low ou Informational) e a plataforma deriva a severidade de 0–10 que coloca a descoberta nessa faixa, levando em conta sua confiança. Isso é útil quando você quer rebaixar uma descoberta para uma classificação específica sem calcular a pontuação numérica você mesmo.
Cobertura de Linguagens
Python
JavaScript / TypeScript
Java
Go
Ruby
PHP
C / C++
C#
Rust
Swift / Objective-C
Kotlin
Scala
Dart
Elixir
Nim
AL (Business Central)
ObjectScript (InterSystems IRIS)
.inc e a verificação de Ruby inclui templates .erb — de modo que descobertas nesses arquivos são corretamente atribuídas e analisadas.
Principais Capacidades
75% Menos Falsos Positivos
Detecção de Vulnerabilidades Inéditas
Descobertas Conscientes da Aplicação
Visualização de Fluxo de Dados
Detalhamento das Etapas de Ataque
includeExploitWalkthrough.Pré-condições de Explorabilidade
includePreconditions.Resultados Determinísticos
Capacidade de Correção Automática
Detecção de Segredos com Múltiplos Engines
Investigação Sob Demanda
Chat da Issue
Notas da Issue
Rastreamento de Issues por Branch
Investigação
Você pode solicitar a investigação sob demanda de qualquer descoberta para obter uma avaliação mais profunda e com maior confiança. Quando você dispara uma investigação, a ZeroPath reavalia a descoberta usando modelos de IA mais poderosos:- Descobertas de SAST são revalidadas com um modelo maior que examina a explorabilidade com mais contexto e nuance.
- Descobertas de SCA em dependências diretas passam por análise de alcançabilidade para determinar se o caminho de código vulnerável é de fato alcançável no seu projeto. Os resultados são rotulados como “Likely Reachable” ou “Likely Not Reachable” para refletir a natureza probabilística da análise, e incluem um resumo detalhado de alcançabilidade explicando o raciocínio. Quando uma avaliação de SCA encontra erros de análise repetidos, as falhas são contadas por pacote em vez de por tentativa, de modo que um único pacote com muitos advisories que esgota o limite de profundidade de análise não impede que outros pacotes sejam investigados.
- Descobertas de SCA em dependências transitivas passam por um processo em duas fases: primeiro, uma etapa de triagem determina se a explorabilidade pode sequer ser avaliada e, em caso afirmativo, uma análise completa de alcançabilidade rastreia a cadeia de dependências para verificar se a vulnerabilidade é alcançável através dos pacotes pais. A resolução de dependências transitivas é suportada para Java (Maven, Gradle), Scala (sbt), Python (pip), .NET e Rust (Cargo).
Checklist de Adoção
Conecte Seu Repositório
Confirme Que o SAST Está Habilitado
Execute Seu Primeiro Scan
Revise as Descobertas
excludedRepositoryBranches, o que é útil para omitir repositórios ruidosos ou irrelevantes
de uma consulta ampla.Configure os Limiares
Habilite a Verificação de PRs
Configure Integrações
Defina Regras Personalizadas