Обясними решения
Всяко решение включва следи от обосновка и разбивка на оценките.
Решения за сигурност
Решения, които можете да докажете и възпроизведете
Контролирайте издания с оценка на политики, VEX резолюция по решетка и детерминистични решения. Всяко решение експортира подписана, възпроизводима капсула.
Проблемът с типичните работни потоци за сигурност
Констатациите от скенерите се натрупват. Изключенията се увеличават. Шест месеца по-късно никой не може да обясни защо дадена CVE е била маркирана като «приемлива».
Типичен работен поток за сигурност
- ✗
VEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контексткато сляпо потискане — «маркирай като незасегнат» - ✗ Противоречивите твърдения се игнорират, не се разрешават
- ✗ Решенията са разпръснати в тикети и имейли
- ✗ Няма начин да докажете какво е било известно по време на решението
Решения на Стела
- ✓
VEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контексткато състояние — конфликтите се откриват и проследяват - ✓ Консенсус с претегляне на доверието и обосновка
- ✓ Решенията са запечатани в експортируеми капсули
- ✓ Детерминистично възпроизвеждане със замразени входни данни
Двигател за VEX консенсус
Не сляпо потискане. Решетка с 5 състояния с претегляне на доверието, откриване на конфликти и експортируема обосновка.
VEX решетка с 5 състояния
VEX твърденията се разрешават чрез решетка с претегляне на доверието. Конфликтите са първокласно състояние, не скрити грешки.
Поправено
Незасегнато
Засегнато
Конфликт
Неизвестно
Оценка на вектора на доверие
9 фактора: авторитет на издателя, специфичност, актуалност и други.
Откриване на конфликти
Противоречивите твърдения се маркират за разрешаване, не се сливат безшумно.
Загуба на актуалност
Полуживот от 14 дни гарантира, че остарелите твърдения губят влияние.
7 CSAF доставчика
RedHat, Ubuntu, Oracle, MSRC, Cisco, SUSE, VMware.
Експорт на обосновка
Обяснимост на одитно ниво за всеки консенсус.
Студио за конфликти UI
Визуално разрешаване на противоречиви VEX твърдения.
Двигател за политики
10+ типа контроли с Belnap K4 четиризначна логика. Истина, Лъжа, И двете и Нито едно са валидни състояния.
Типове контроли по политики
- → Контроли по праг на сериозност (
CVSSCommon Vulnerability Scoring System – оценка на критичност от 0 до 10, показваща сериозността на уязвимост,EPSSExploit Prediction Scoring System – вероятностна оценка (0–100%), предсказваща вероятността уязвимост да бъде експлоатирана) - → Изискване за достижимост за критични
- → Бюджет за неизвестни — несигурността се проследява
- → Квота на източника — налагане на лимит от 60%
- →
OPAOpen Policy Agent — двигател за политики с отворен код за детайлно, контекстно-зависимо прилагане на политики в целия стек/Rego интеграция за персонализирани правила
Оценка на риска
- →
CVSSCommon Vulnerability Scoring System – оценка на критичност от 0 до 10, показваща сериозността на уязвимостv4.0,EPSSExploit Prediction Scoring System – вероятностна оценка (0–100%), предсказваща вероятността уязвимост да бъде експлоатиранаv4 вероятност - →
KEVKnown Exploited Vulnerabilities – каталог на CISA за активно експлоатирани уязвимости(Известни експлоатирани) откриване - → Множители на контроли, осъзнати за достижимост
- → Персонализирани профили за оценка
- → Симулация на политики преди разгръщане
Капсули за решения
Всяка оценка на контрол произвежда запечатан, експортируем пакет с доказателства. Шест месеца по-късно възпроизведете точното решение.
Какво съдържа капсулата
✓ Дайджест на артефакт (SHA-256)
✓ Снимка на
SBOMSoftware Bill of Materials – пълен списък на всички пакети и зависимости във вашия софтуер✓ Доказателства за достижимост
✓
VEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст състояние (разрешено по решетка)✓ Версия на политиката + решение
✓ Подписи за одобрение
$ stella replay decision-capsule-2026-01-15.yaml --verify
Възпроизвеждане на решение от 2026-01-15T14:32:00Z...
Версия на политиката: sha256:e5f6g7h8... (съвпада)
Снимка на фийда: sha256:i9j0k1l2... (съвпада)
Състояние VEX: sha256:m3n4o5p6... (съвпада)
Вердикт: ALLOW (идентичен с оригинала)
Проверка на детерминизъм: ПРЕМИНАТО
Същите входове → същите изходи. Готово за одит.Атестация и подписване
Инфраструктура за подписване
- →
DSSEDead Simple Signing Envelope – прост, гъвкав стандарт за подписване на произволни данни с криптографски подписиподписване с плик чрезin-totoРамка за защита на веригата за доставки на софтуер чрез проверка, че всяка стъпка е изпълнена по план и от упълномощени участници - → Подписване без ключ чрез
SigstoreOpen source проект, предоставящ безплатна инфраструктура за подписване на код и журнали за прозрачност/Fulcio - → Интеграция с
RekorЖурнал за прозрачност от Sigstore, предоставящ неизменяем регистър на софтуерни подписилог за прозрачност - → Услуга за ротация на ключове с HSM поддръжка
25+ типа предикати
- →
SBOMSoftware Bill of Materials – пълен списък на всички пакети и зависимости във вашия софтуер,VEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст, предикати за достижимост - → Предикати за решения по политики
- → Предикати за човешко одобрение
- →
SLSASupply-chain Levels for Software Artifacts — рамка за осигуряване на целостта на софтуерните артефакти по цялата верига за доставкипроизход v1.0
Какво го прави различно
Неизвестните като състояние
Несигурността се проследява и бюджетира, не се скрива или игнорира.
Детерминистично възпроизвеждане
Същите входни данни, същите резултати. Докажете всяко решение месеци по-късно.
Готови за решения, които можете да докажете?
Започнете с настройка на политики и първата си оценка на контрол.
Оркестрация на издания · Двигател за доказателства · Доказателства и одит