ISO 27001 A.8.8 · npm audit · Vulnerabilidades

Gestão de vulnerabilidades ISO A.8.8, rodando dentro do seu repositório.

O controle A.8.8 pede gestão de vulnerabilidades técnicas. A skill da Exponencial roda npm audit, reconcilia riscos e registra evidências datadas na plataforma de conformidade.

01 Intenção de busca

O problema não é só encontrar CVE. É provar o ciclo.

Auditores e clientes querem ver processo: detecção, priorização, tratamento, aceite e evidência. Um relatório solto do npm audit ajuda pouco se não vira registro rastreável dentro do SGSI.

  • Vulnerabilidade alta ou crítica vira risco técnico.
  • Vulnerabilidade resolvida fecha risco com evidência datada.
  • Baixas e moderadas entram como histórico do ciclo de monitoramento.
  • A execução fica associada ao projeto e à organização corretos.

02 O que entregamos

Sem alterar dependências

O agente é só leitura no repositório: executa npm audit e envia o resultado para a conformidade. Ele não roda npm install nem corrige código sozinho.

Risco com contexto

Pacote, severidade, projeto, data e origem entram no registro de riscos para decisão de tratamento, aceite ou mitigação.

Uso por avaliação

Na primeira execução, o agente cria uma organização de avaliação com o e-mail do responsável. Já cliente, use o fluxo de conexão e aprovação.

03 Fluxo

Da intenção à evidência.

  1. 01

    Rode npx @exponencial/iso-remediacao

    Execute dentro de um projeto com package.json e package-lock.json. O agente identifica o responsável pelo e-mail do Git.

  2. 02

    Revise o que foi detectado

    Altas e críticas viram riscos; baixas e moderadas compõem evidência do monitoramento; resolvidas fecham pendências existentes.

  3. 03

    Acompanhe no painel

    Entre no /adm com o mesmo e-mail e veja o controle A.8.8, riscos e eventos gerados pela rodada.

  4. 04

    Agende recorrência

    Em clientes ativos, o mesmo agente pode rodar em CI, cron ou rotina de agente para manter a evidência viva.

04 Prova prática

O que diferencia de um relatório comum.

O valor está em ligar a saída técnica ao controle ISO correto e ao fluxo de decisão. A evidência deixa de ser um arquivo esquecido e passa a compor o histórico do SGSI.

  • Controle relacionado: ISO/IEC 27001:2022 Anexo A.8.8.
  • Fonte técnica: npm audit --json.
  • Destino: registro de riscos, eventos e evidências no painel Exponencial.

05 Perguntas frequentes

Respostas diretas antes da conversa.

Preciso ser cliente para rodar?

Não. A execução sem cadastro cria uma organização de avaliação. Para conectar a uma conta existente, use --connect e aprove o agente no painel.

O agente envia segredo do meu projeto?

Não por desenho. Ele usa a saída do npm audit e metadados de projeto; não precisa ler .env, chaves privadas ou credenciais do repositório.

Funciona fora de npm?

Esta primeira skill é focada em npm porque resolve uma porta de entrada clara. O mesmo modelo pode ser estendido para outros ecossistemas e controles.