Pular para o conteúdo principal
Os Security scans ajudam a identificar vulnerabilidades nas dependências dos repositórios conectados. Quando os scans estão disponíveis para um repositório, a seção Security scans aparece na página de detalhes do repositório.

Onde configurar

Os Security scans são configurados em Repositórios, o que requer um Workspace admin. Abra o repositório desejado e localize a seção Security scans.
Seção Security scans do repositório com o botão de scan recorrente e o resumo do último scan
Nesta seção você pode:
  • ativar ou desativar scans recorrentes;
  • escolher o intervalo do scan;
  • iniciar um scan sob demanda quando permitido;
  • abrir o último resultado;
  • acompanhar a quantidade de vulnerabilidades, os pacotes afetados e a pior severidade.

O que aparece no resultado

Um resultado de scan pode incluir:
InformaçãoFinalidade
pacote afetadodependência com vulnerabilidade conhecida
versão atualversão detectada no repositório
versão corrigidaversão recomendada quando disponível
severidadeprioridade de correção
advisoryreferência pública da vulnerabilidade
paths afetadosonde a dependência aparece

Como habilitar

1

Abrir o repositório

Acesse Repositórios e selecione o repositório que deseja escanear.
2

Localizar Security scans

Confirme que a seção está disponível para o provedor do repositório.
3

Ativar scans recorrentes

Ative os scans recorrentes e escolha o intervalo para a branch principal.
4

Salvar

Confirme a alteração e acompanhe o próximo scan na página de detalhes do repositório.

Scans sob demanda

Quando os scans sob demanda estão disponíveis, use um para validar uma correção, revisar um repositório recém-conectado ou investigar um alerta. Para automações, use API keys com:
  • SecurityScans.Read para listar e recuperar resultados;
  • SecurityScans.Write para iniciar scans.

Limitações comuns

Um scan pode não rodar quando:
  • o repositório ainda não está pronto;
  • a credencial vinculada perdeu a permissão;
  • o provedor não suporta a ação necessária;
  • o repositório não contém manifestos de dependência reconhecidos;
  • já existe outro scan em execução para o mesmo repositório.
Use a página de detalhes do repositório, a credencial vinculada e o Audit Trail para investigar.