الميزات

الآليات التقنية وراء قرارات إصدار قابلة للدفاع

قم بتنظيم SCM والسجلات وConsul وVault والإصدارات المستندة إلى digest. يتم فحص الصور بحثًا عن نقاط الضعف، وتصفيتها حسب إمكانية الوصول، وكل ترقية قابلة للمراجعة.

  • أدلة وصول موقعة — ليست تخمينات، مسارات استدعاء دقيقة
  • إعادة تشغيل حتمية — تحقق من أي قرار بعد أشهر
  • Lattice VEXVulnerability Exploitability eXchange - بيانات قابلة للقراءة آليًا حول ما إذا كانت الثغرات قابلة للاستغلال فعلاً في سياقك— التعارضات حالة، وليست قمعاً
طلب الوصول اقرأ التوثيق

ما يعنيه هذا لعملك

قلل قوائم فرز CVE القابلة للوصول، وحافظ على قابلية إعادة إنتاج قرارات الترقية، وانقل التدقيق من إعادة بناء السرد إلى التحقق من التواقيع وإعادة التشغيل.

Proof anchors

Each claim links to inspectable evidence artifacts, replay workflow, and specification docs.

Evidence and Audit | Decision Capsule spec | How it works

ما تحصل عليه خلال 30 دقيقة

تثبيت

إعداد Docker Compose

فحص

SBOM + قابلية الوصول

ترقية

Dev → Staging

تصدير

كبسولة القرار

ابنِ من المصدر →

الركائز الأربع للإصدارات على مستوى الأدلة

الدرجة الأولى SBOM & VEX

إنشاء SPDX/CycloneDX SBOMs، استيعاب OpenVEX من جهات إصدار متعددة، وحل التعارضات باستخدام K4 منطق شبكي - حتمي وقابل للاتصال بالإنترنت. SBOMقائمة مواد البرمجيات - قائمة كاملة بجميع الحزم والتبعيات في برنامجك VEXVulnerability Exploitability eXchange - بيانات قابلة للقراءة آليًا حول ما إذا كانت الثغرات قابلة للاستغلال فعلاً في سياقك

  • إنشاء SBOMقائمة مواد البرمجيات - قائمة كاملة بجميع الحزم والتبعيات في برنامجك بصيغ SPDXSoftware Package Data Exchange - صيغة معيارية مفتوحة أخرى لـ SBOM، مستخدمة على نطاق واسع في المصادر المفتوحة 3.0.1 وCycloneDXصيغة معيارية مفتوحة لقوائم مواد البرمجيات (SBOM) مستخدمة في جميع أنحاء الصناعة 1.7 من صور الحاويات
  • استيعاب OpenVEXصيغة معيارية مفتوحة لبيانات VEX حول قابلية استغلال الثغرات من عدة جهات مُصدِرة مع حل تعارضات K4 lattice
  • مطابقة CVECommon Vulnerabilities and Exposures - معرّف فريد لثغرة أمنية معروفة علنًا من أكثر من 30 مصدر إرشادي مع عمليات فحص warm-path خلال أقل من ثانية
اعرف المزيد →

قابلية الوصول كدليل

يؤدي التحليل ثلاثي الطبقات — الرسوم البيانية الاستدعاءية الثابتة والرموز الثنائية وتحقيقات eBPF لوقت التشغيل — إلى إنتاج براهين DSSE موقعة تقلل بشكل كبير النتائج الإيجابية الخاطئة. Reachabilityتحليل يثبت ما إذا كان الكود المعرّض يتم استدعاؤه فعلاً بواسطة تطبيقك — يفلتر الإيجابيات الكاذبة من ضوضاء الماسحات

  • تحليل ثلاثي الطبقات: رسوم استدعاء ثابتة، رموز ثنائية، مجسات eBPFمرشح بيركلي الممتد للحزم — تقنية نواة لينكس تُشغّل برامج معزولة للمراقبة عالية الأداء وتحليل وقت التشغيل بدون وحدات نواة في وقت التشغيل
  • إثباتات DSSEDead Simple Signing Envelope - معيار بسيط ومرن لتوقيع البيانات بتوقيعات تشفيرية موقعة — ليست ادعاءات، بل أدلة قابلة للتحقق
  • انخفاض ملحوظ في الإيجابيات الكاذبة: ركّز على 12 CVECommon Vulnerabilities and Exposures - معرّف فريد لثغرة أمنية معروفة علنًا قابلة للوصول بدل 487 نظرية
اعرف المزيد →

إدارة الإصدارات: digest أولاً

الإصدارات غير قابلة للتغيير OCI مجموعات الـ digests التي يتم حلها عند الإنشاء — العلامات هي أسماء مستعارة، والـ digests حقيقة، وكل سحب يمكن اكتشافه للتلاعب.

  • الإصدارات مجموعات OCIمبادرة الحاويات المفتوحة — المعيار الصناعي لتنسيقات صور الحاويات والسجلات digest غير قابلة للتغيير تُحسم عند الإنشاء
  • الوسوم مجرد أسماء مستعارة، أما الـ digest فهو الحقيقة — كل سحب يكشف العبث
  • مسار تدقيق كامل: تعرف بدقة ماذا نُشر وأين ومتى
اعرف المزيد →

النشر بدون وكيل

انشر على خوادم Linux ‏(SSH) وWindows ‏(WinRM) باستراتيجيات canary أو rolling أو blue-green — يعيد rollback إلى digests الموثوقة.

  • النشر إلى Docker Compose وSwarm وECS وNomad أو خوادم مكتوبة بالسكربت
  • تنفيذ عبر SSH (Linux) وWinRM (Windows) — بدون وكيل بطبيعته.
  • استراتيجيات canary وrolling وBlue/Green مع rollback فوري
اعرف المزيد →

ما الذي يجعل Stella مختلفة

معظم الأدوات تعطي نتائج أو عمليات نشر. Stella تعطي أدلة.

أدلة وليست ادعاءات

كل قرار مدعوم بأدلة موقعة وقابلة لإعادة التشغيل. يمكن للمدققين التحقق بشكل مستقل — دون اعتماد على المورّد.

Non-Kubernetes أولاً

Docker Compose وECS وNomad والخوادم المعتمدة على السكربت هي أهداف أساسية — وليست إضافة لتصميم متمحور حول K8s.

إعادة تشغيل حتمية

أعد تشغيل أي قرار بعد 6 أشهر بمدخلات مجمّدة. نفس SBOM ونفس الـ feeds ونفس السياسة — ناتج مطابق بتًا بتًا.

سيادي وبدون اتصال

تشغيل كامل في air-gap مع حزم feeds موقعة. ملفات تشفير متوافقة مع FIPS وGOST وSM2/SM3 وeIDAS (يعتمد التحقق على مزود المفاتيح لديك). لا توجد تليمترية إلزامية؛ فقط opt-in (معطلة افتراضياً).

كيف يقارن Stella

Stella يجمع بين المسح والسياسة والنشر في جهاز واحد منصة مرتبطة بالأدلة. انظر كيف يتم ترتيب الأمور.

الأداةالفئةالفرق الأساسي
Trivy / Grypeماسحاتنتائج فقط — بدون قابلية وصول ولا تنسيق للإصداراتقارن →
Snykمنصة SCAتحليل تكوين البرمجيات — فحص آلي لمكونات الطرف الثالث والمفتوحة المصدر بحثاً عن الثغرات المعروفة ومخاطر التراخيصSaaS فقط، بدون إعادة تشغيل حتميةقارن →
Octopus Deployمنصة CDلا يوجد فحص أمني مدمج أو سلسلة أدلةقارن →
GitHub ActionsCI/CDمتمحور حول CI، بدون طبقة تنسيق للإصداراتقارن →
Harnessمنصة CDمتمحور حول K8s مع دعم محدود خارج K8sقارن →

راجع المقارنة الكاملة

هل أنت مستعد للإصدارات ذات درجة الأدلة؟

التثبيت باستخدام Docker Compose وتشغيل أول ترقية تم التحقق منه.

طلب الوصول اقرأ التوثيق