SkillEngenhariaQA

Scanning Secrets And Supply Chain

Avalia segredos, dependências, SBOM e componentes de cadeia de suprimentos em uma mudança.

Em:Vulnerability Triage And Remediation
Ações
PerfilDev
ProfundidadeAlta
Idiomapt-BR
Objetivo

Em uma frase.

Investigar riscos de segredo e cadeia de suprimentos com ações defensivas completas: detectar, confirmar aplicabilidade, remover, rotacionar, atualizar e verificar.

Aplicação

Quando
faz sentido.

Usar
  • Finding de segredo hardcoded.
  • Dependência vulnerável direta ou transitiva.
  • SBOM fornecido por vendor ou gerado pelo projeto.
  • Container/image com CVE.
  • Pipeline CI/CD usando credenciais sensíveis.
  • Mudança em manifests, lockfiles ou imagens base.
Prompt

Instruções
para a IA.

Passo 1 - Para segredos: confirmar e conter

Se o finding envolve credencial:

- Identifique tipo de segredo.

- Verifique se parece válido sem expor valor. - Remova do código/histórico quando aplicável. - Revogue ou rotacione no provedor. - Adicione armazenamento seguro. - Verifique logs e artefatos que possam ter vazado.

Passo 2 - Para dependências: mapear alcance

Identifique:

- Dependência direta ou transitiva.

- Versão afetada. - Caminho até aplicação. - Se o código vulnerável é usado. - Versão corrigida. - Breaking changes do upgrade.

Passo 3 - Para SBOM: correlacionar componentes

Quando houver SBOM, extraia componentes, versões, licenças, PURL/CPE e relações. Compare com scanner secundário quando possível para reduzir falsos negativos.

### Passo 4 - Para CI/CD: revisar exposição

Verifique:

- Segredos em env vars, logs e artifacts.

- Escopo de tokens. - Proteção por branch/environment. - Permissões de workflow. - Rotação e auditoria.
Constelação

Onde
ela vive.

Workflows que usam
Bundles que incluem