الهوية غير القابلة للتغيير
تضمن ملخصات SHA-256 أن العنصر الذي يتم الترويج له مطابق للبايت للعنصر الذي تم مسحه ضوئيًا والموافقة عليه.
إصدار الملخص الأول
هوية الإصدار غير القابلة للتغيير حسب المحتوى التجزئة
الإصدار عبارة عن مجموعة من OCI الملخصات التي تم حلها في وقت الإنشاء. العلامات هي أسماء مستعارة يمكن قراءتها بواسطة الإنسان؛ الملخصات هي حقيقة مشفرة.
لماذا الملخص الأول؟
العلامات القابلة للتغيير تخلق الغموض. يمكن أن تشير نفس العلامة إلى محتوى مختلف بمرور الوقت. يزيل إصدار الملخص الأول حالة عدم اليقين هذه.
اكتشاف العبث
أي تعديل على القطعة الأثرية يغير ملخصها. عدم تطابق وقت السحب = فشل النشر. من المستحيل إخفاء التلاعب.
مسار التدقيق
اعرف بالضبط أي قطعة أثرية تم نشرها أين ومتى ولماذا - مع إثبات التشفير الذي يربط بين الفحص والموافقة والموافقة النشر.
تراجع مفيد
يعود التراجع إلى الملخصات الدقيقة المعروفة، وليس "أيًا كان: أحدث النقاط حتى الآن". نفس البايتات، مضمونة.
هيكل الإصدار
يحتوي الإصدار في Stella على عدة مكونات، يتم تحديد كل منها من خلال ملخص OCI الخاص به. يحتوي الإصدار نفسه على نسخة دلالية لسهولة القراءة البشرية.
مثال لحزمة الإصدار
Release: myapp-v2.3.1
المكونات:
api: sha256:abc123...
worker: sha256:def456...
frontend: sha256:789ghi...
إنشاء الإصدارات وإدارتها من CLI
$ stella release create --name myapp-v2.3.1 --components api:v2.3.1,worker:v2.3.1
stella release list --environment production\nstella release show myapp-v2.3.1 --componentsعلامة إلى ملخص الحل
عندما تقوم بإنشاء إصدار، يقوم Stella على الفور بحل جميع العلامات إلى ملخصاتها الحالية. منذ تلك اللحظة، أصبح الإصدار ثابتًا.
- يتم حل علامات مثل:v2.3.1 إلى sha256:abc123... في وقت الإنشاء
- إذا دفع شخص ما صورة جديدة إلى نفس العلامة، فإن إصدارك هو غير متأثرة
- تستخدم استعلامات التسجيل دائمًا @sha256: بناء جملة الملخص — لا توجد إعادة دقة للعلامات
ضمان الثبات
بمجرد إنشاء إصدار، لا يمكن تغيير مجموعة الملخصات الخاصة به. سيتم نشر نفس البايتات بالضبط في كل بيئة، في كل مرة.
العناصر المولدة
يُنشئ كل عملية نشر عناصر غير قابلة للتغيير تتيح إمكانية التكرار والتدقيق والتراجع.
compose.stella.lock.yml
Docker Compose مع تثبيت جميع مراجع الصور في ملخصات محددة. يتضمن Stella تسميات البيانات التعريفية لإمكانية التتبع.
image: registry.example.com/myapp/api@sha256:abc123...
labels:
stella.release.id: "rel-uuid"
stella.digest: "sha256:abc123..."
stella.version.json
تم وضع ملف بيانات تعريف JSON على أهداف النشر مما يشير إلى الإصدار الحالي، والمكونات، وإستراتيجية النشر، والإصدار السابق للتراجع.
"release": { "name": "myapp-v2.3.1" }
"deployment": { "strategy": "rolling" }
"previous": { "digest": "sha256:789..." }
"signature": "base64-encoded-signature"
تجليد الأدلة
يربط كل إصدار الأدلة الأمنية بالملخصات الدقيقة التي يتم نشرها. تنتقل الأدلة مع الإصدار من خلال الترويج.
| حقل الدليل | المحتوى |
|---|---|
| sbomDigest | SHA-256 من SBOM الذي تم إنشاؤه لهذا الملخص |
| scanVerdict | نجاح/فشل نتيجة تقييم السياسة مع مراجع الأدلة |
| reachabilityProof | CAS URI للرسم البياني لإمكانية الوصول الموقع لهذا الملخص |
| policyHash | تجزئة إصدار السياسة المستخدم للتقييم |
إعادة التشغيل الحتمية: نظرًا لنفس الإصدار و في حالة تجزئة السياسة، فإن إعادة التقييم تنتج أحكامًا متطابقة بعض الشيء. يمكن للمدققين التحقق من القرارات بعد أشهر.
هل أنت جاهز لهوية الإصدار غير القابلة للتغيير؟
تثبيت Stella Ops وبدء إصدار الإصدارات عن طريق تجزئة المحتوى مع ربط الدليل الكامل.