قابلية الوصول كدليل
تحليل ثلاثي الطبقات - الرسوم البيانية الاستدعاءية الثابتة، ومطابقة الرموز الثنائية، وتحقيقات eBPF لوقت التشغيل - ينتج أدلة DSSE موقعة تقلل بشكل كبير النتائج الإيجابية الكاذبة.
ما يعنيه هذا لعملك
أصلح فقط الثغرات التي يمكن لتطبيقك الوصول إليها فعلاً — تخطَّ الباقي. تثبت Stella أي CVEs قابلة للوصول حتى يركز فريقك على المخاطر الحقيقية، وليس ضوضاء الماسحات. Reachabilityتحليل يثبت ما إذا كان الكود المعرّض يتم استدعاؤه فعلاً بواسطة تطبيقك — يفلتر الإيجابيات الكاذبة من ضوضاء الماسحات
حتى 70-90%
خفض الضوضاء المعتاد
يختلف النطاق المرصود حسب المكدس والتغطية.
3
طبقات التحليل
رسوم استدعاء ثابتة، رموز ثنائية، مجسات eBPF أثناء التشغيل
100%
موقّع وقابل لإعادة التشغيل
كل حكم قابلية الوصول هو دليل موقّع بـ DSSE
توفر كل طبقة دليلًا أقوى تدريجيًا على أن الوظيفة الضعيفة يمكن (أو لا) الوصول إليها من التطبيق الخاص بك الكود. CVECommon Vulnerabilities and Exposures - معرّف فريد لثغرة أمنية معروفة علنًا
استخرج الرسوم البيانية للاتصال من الكود الثانوي وAST والكود المصدر. تتبع المسارات من نقاط الدخول إلى الرموز الضعيفة.
مطابقة الرموز الضعيفة مع الصادرات الثنائية المجمعة. يؤكد أن الكود مرتبط فعليًا.
ملف تعريف إنتاج اختياري. يلتقط استدعاءات الوظائف الفعلية أثناء التنفيذ.
eBPFمرشح بيركلي الممتد للحزم — تقنية نواة لينكس تُشغّل برامج معزولة للمراقبة عالية الأداء وتحليل وقت التشغيل بدون وحدات نواة المستندة إلى Tetragonالنتيجة: إيجابيات كاذبة أقل بشكل ملحوظ. ركز على 12 CVEs يمكن الوصول إليها بدلاً من 487 منها نظريًا.
يتم التعامل مع دليل قابلية الوصول من حيث المحتوى من أجل إلغاء البيانات المكررة والتحقق. تتيح تجزئات العقدة التمييز الفعال بين الإصدارات.
تجزئة العقدة
SHA256(normalize(purl) + ":" + normalize(symbol))
تجزئة المسار
SHA256(entryNodeHash + ":" + joinedIntermediateHashes + ":" + sinkNodeHash)
يتم الاحتفاظ بالمسارات المهمة لـ Top-K في حزمة الأدلة. يتم ترتيب المسارات حسب تردد التنفيذ (من وقت التشغيل) أو عمق الاستدعاء (من الثابت).
عندما لا يتمكن التحليل من تحديد قابلية الوصول، يتم تتبع حالة عدم اليقين بشكل صريح - لا يتم إخفاؤها أو يفترض أنها آمنة بصمت.
| مجموعة أدوات قابلية الوصول | الوزن الافتراضي |
|---|---|
| نقطة الدخول | 1.0 |
| استدعاء مباشر | 0.85 |
| مؤكد في وقت التشغيل | 0.45 |
| غير معروف | 0.5 |
| غير قابل للوصول | 0.0 |
النتيجة النهائية = max(bucket_weights) عبر جميع المسارات. تساهم العقد غير المعروفة في تسجيل المخاطر بدلاً من تجاهلها.
Before enabling hard blocking in production, validate coverage on your own code corpus. The matrix below describes how to evaluate each language/runtime path and how unknowns should be treated.
| Language/runtime | Static call path | Binary/symbol evidence | Runtime evidence | Default gate when unknown |
|---|---|---|---|---|
| Go, Rust, C/C++ | Validate direct and transitive call-path extraction | Validate symbol/build-id matching accuracy | Optional eBPF confirmation for high-risk services | Review or block on critical findings by policy |
| Java and JVM languages | Validate method-level reachability and dynamic dispatch cases | Validate bytecode/jar symbol mapping | Runtime traces recommended for reflective paths | Route unknowns to manual review lane |
| .NET | Validate IL call graph and package lineage | Validate PDB/symbol resolution in release builds | Runtime confirmation for trimmed/AOT scenarios | Review unknowns before allow decision |
| Node, Python, Ruby, PHP | Validate framework entrypoints and dynamic import boundaries | Symbol evidence is partial by design for dynamic dispatch | Runtime traces strongly recommended | Keep unknown as explicit state and require approval |
Policy recommendation: treat unknown as a first-class verdict, set explicit thresholds per severity, and log reviewer override reasons in the evidence bundle.
DSSEDead Simple Signing Envelope - معيار بسيط ومرن لتوقيع البيانات بتوقيعات تشفيرية مظروف بتنسيق in-totoإطار عمل لتأمين سلسلة توريد البرمجيات من خلال التحقق من أن كل خطوة تمت كما هو مخطط ومن قبل جهات مصرح لها SLSAمستويات سلسلة التوريد لأمان البرمجيات — إطار عمل لضمان سلامة المنتجات البرمجية عبر سلسلة التوريد بأكملها الأصلي يمكن التحقق منه بواسطة المدققين دون الوصول إلى الشبكة تنتج إعادة التشغيل الحتمية نتائج متطابقة البت الرسم البياني والتتبعات المؤرشفة في وضع عدم الاتصال التحقق مسارات التخزين المعنونة بالمحتوى cas://reachability_graphs/<hh>/<sha>.tar.zst cas://runtime_traces/<hh>/<sha>.tar.zstينتج عن كل تحليل لقابلية الوصول دليلًا موقّعًا مشفرًا ومخزنًا في وحدة تخزين موجهة للمحتوى. DSSEDead Simple Signing Envelope - معيار بسيط ومرن لتوقيع البيانات بتوقيعات تشفيرية
DSSEDead Simple Signing Envelope - معيار بسيط ومرن لتوقيع البيانات بتوقيعات تشفيرية مظروف بتنسيق in-totoإطار عمل لتأمين سلسلة توريد البرمجيات من خلال التحقق من أن كل خطوة تمت كما هو مخطط ومن قبل جهات مصرح لها SLSAمستويات سلسلة التوريد لأمان البرمجيات — إطار عمل لضمان سلامة المنتجات البرمجية عبر سلسلة التوريد بأكملها الأصليمسارات التخزين المعنونة بالمحتوى
cas://reachability_graphs/<hh>/<sha>.tar.zst
cas://runtime_traces/<hh>/<sha>.tar.zst
تلتقط الأجهزة الاختيارية المستندة إلى Tetragon عمليات تنفيذ الوظائف الفعلية في الإنتاج، مما يوفر قابلية الوصول بأعلى مستوى من الثقة الأدلة.
بيانات التحقيق المُلتقطة
symbol_id: معرّف رمز معياري
code_id: معرّف مقطع الشفرة
hit_count: تكرار التنفيذ
loader_base: عنوان قاعدة الذاكرة
cas_uri: مرجع مُعنون بالمحتوى
ترسل المجسات الملاحظات إلى /api/v1/observations على دفعات. تشتمل كل ملاحظة على CAS URI للعنصر الأساسي.
تثبيت Stella Ops والبدء في إنتاج أدلة قابلية الوصول الموقعة من خلال تحليل ثلاثي الطبقات.