اتصل. اجمع. تحكم. انشر.

اربط مخرجات CI بأهداف النشر، وقيّم السياسة على أدلة مرتبطة بالـ digest، ثم رقِّ الإصدارات بسجلات موقعة. النتيجة: CVE قابلة للوصول أقل في المراجعة، وإعادة تشغيل حتمية، واستجابة أسرع للتدقيق.

طلب الوصول اقرأ التوثيق

Proof anchors

Each claim links to inspectable evidence artifacts, replay workflow, and specification docs.

Proof and methodology links: Evidence and Audit | Decision Capsule spec | Operations and Deployment

بعد الإعداد الأولي، سيكون لديك:

  • 1. تم مسح صورتك الأولى باستخدام SBOMقائمة مواد البرمجيات - قائمة كاملة بجميع الحزم والتبعيات في برنامجك + تحليل قابلية الوصول
  • 2. كبسولة قرار موقعة تثبت نتائج الفحص
  • 3. ترقية كاملة واحدة من التطوير إلى التدريج مع الأدلة

أين يتناسب Stella Ops

تقع Stella بين نظام CI الخاص بك وخوادمك. يبني CI الصور. تقرر Stella ما إذا كان يمكن ترقيتها، وتنشرها على أهداف غير Kubernetes (Compose, SSH/WinRM, ECS, Nomad)، وتصدّر الإثباتات للتدقيق.

نظرة عامة على البنية

تقع طبقة التحكم لـ Stella Ops بين مدخلاتك (CI/CD، السجلات، الـ feeds) ومخرجاتك (أهداف النشر، أنظمة التدقيق). تمر الأدلة عبرها وتُختم في كل خطوة.

Stella Ops Architecture Diagram
هندسة حزمة ستيلا — مستضافة ذاتياً بوحدات لكل طبقة وقابلة للتوسيع عبر الإضافات (plugins)

دورة حياة الإصدار بنظرة سريعة

اربط، وحزّم، ومرّر عبر gate، وانشر، وصدّر كبسولة قرار مع أدلة مرتبطة بـ digest للأصل.

مخطط دورة حياة الإصدارربطتحزيمGateنشركبسولة القرارالأدلة تُغلق في كل خطوة
1

ربط السجل وSCM وCI والبنية التحتية

اربط سجلات الحاويات وخطوط CI ومكونات البنية التحتية لبناء دفتر إصدارات قائم على البصمة. Stella يراقب الصور الجديدة وينسق مع بنيتك التحتية الحالية.

المصدر والسجل

  • → Docker Hub، Harbor، ECR، GCR، ACR
  • → GitHub، GitLab، Bitbucket Webhooks
  • → Jenkins، GitHub Actions، GitLab CI

البنية التحتية

  • HashiCorp Vault للأسرار
  • HashiCorp Consul لسجل الخدمات
  • SSH/WinRM لأهداف بعيدة (بدون وكيل بطبيعته)
2

بناء حزمة الإصدار

التقط بصمات القطع وSBOM والمصدر كوحدة ترقية واحدة. الحزمة تعبر البيئات، تجمع الأدلة في كل خطوة.

  • → توليد SBOMقائمة مواد البرمجيات - قائمة كاملة بجميع الحزم والتبعيات في برنامجك CycloneDXصيغة معيارية مفتوحة لقوائم مواد البرمجيات (SBOM) مستخدمة في جميع أنحاء الصناعة / SPDXSoftware Package Data Exchange - صيغة معيارية مفتوحة أخرى لـ SBOM، مستخدمة على نطاق واسع في المصادر المفتوحة
  • → شهادة مصدر SLSAمستويات سلسلة التوريد لأمان البرمجيات — إطار عمل لضمان سلامة المنتجات البرمجية عبر سلسلة التوريد بأكملها
  • → هوية قطعة موجهة بالمحتوى (SHA-256)
3

التحكم بالوصول الهجين + السياسة

قيّم السياسة مقابل الأدلة في كل ترقية. تحليل الوصول الهجين يستخدم ثلاث طبقات لتحديد أي الثغرات يستدعيها كودك فعلاً:

1. التحليل الثابت

استخراج رسم الاستدعاءات من البايت كود/المصدر

2. تحليل البيان

عبارات import/require، أشجار التبعيات

3. تتبع وقت التشغيل

بيانات تنميط اختيارية لثقة أعلى

طرفية
$ stella gate evaluate --env stage --artifact sha256:abc123...
 تم العثور على 487 CVE في الاعتمادات
 475 غير قابلة للوصول (تحليل هجين)
! 12 قابلة للوصول (تم تقييمها وفق السياسة)
حكم السياسة: PASS — 12 CVE قابلة للوصول تحت الحد
تم حفظ تقييم gate: evidence/gate-stage-2025-07-15.json

النتيجة: إيجابيات كاذبة أقل بشكل ملحوظ مقارنة بعد CVE التقليدي.

4

نشر + تصدير كبسولة القرار

نفّذ النشر إلى أهدافك وصدّر حزمة أدلة موقعة. اضبط البيئات عبر SSH/WinRM أو استخدم المزودين المدمجين — كل عمليات النشر بدون وكيل بطبيعتها.

أهداف النشر

  • → نشر Docker Compose
  • → AWS ECS / Fargate
  • → HashiCorp Nomad
  • → نشر بالبرمجة النصية (.NET 10)

إعداد البيئة

  • SSH لأهداف Linux/Unix
  • WinRM لأهداف Windows
  • Vault لحقن الأسرار
  • Consul لاكتشاف الخدمات

كبسولات القرار موقعة بـ DSSE وتحتوي كل شيء لتصدير التدقيق وإعادة التشغيل الحتمية.

فرق الوصول

بدون وصول

  • 487 CVECommon Vulnerabilities and Exposures - معرّف فريد لثغرة أمنية معروفة علنًا للفرز
  • أيام من التحقيق
  • لا مسار تدقيق
  • تخمين قابلية الاستغلال
  • استثناءات مخصصة

مع Stella Ops

  • 12 CVECommon Vulnerabilities and Exposures - معرّف فريد لثغرة أمنية معروفة علنًا قابلة للوصول للإصلاح
  • ساعات حتى الحل
  • تصدير كبسولة القرار
  • إثبات مسارات الاستدعاء
  • بوابات محكومة بالسياسة

ما يحصل عليه المدققون

كل كبسولة قرار تحتوي:

  • بصمة القطعة الدقيقة (SHA-256)
  • لقطة SBOMقائمة مواد البرمجيات - قائمة كاملة بجميع الحزم والتبعيات في برنامجك (CycloneDXصيغة معيارية مفتوحة لقوائم مواد البرمجيات (SBOM) مستخدمة في جميع أنحاء الصناعة/SPDXSoftware Package Data Exchange - صيغة معيارية مفتوحة أخرى لـ SBOM، مستخدمة على نطاق واسع في المصادر المفتوحة)
  • أدلة الوصول (رسوم موقعة)
  • إصدار السياسة + الحكم
  • حالة VEXVulnerability Exploitability eXchange - بيانات قابلة للقراءة آليًا حول ما إذا كانت الثغرات قابلة للاستغلال فعلاً في سياقك (محلولة بالشبكة)
  • سجلات الموافقة الموقعة

يمكن للمدققين التحقق من التوقيعات بشكل مستقل وإعادة تشغيل القرار دون اتصال باستخدام stella replay.

مستعد لرؤيته في العمل؟

طلب الوصول اقرأ التوثيق

عرض جميع المميزات | الأدلة والتدقيق | التوثيق