Неизменяема идентичност
SHA-256 хешовете гарантират, че артефактът, който се придвижва, е байт по байт идентичен с артефакта, който е сканиран и одобрен.
Задаване на версия по хеш
Неизменяема идентичност на издание чрез хеш на съдържанието
Изданието е пакет от OCI хешове, разрешени при създаването. Таговете са четими за хората псевдоними; хешовете са криптографската истина.
Какво означава това за вашия бизнес
Гарантирайте, че тестваното е точно това, което внедрявате — байт по байт. Неизменяемите хешове на съдържанието елиминират дрейфа на таговете и дават на одиторите защитена от подправяне верификация на внедряването.
Защо първо хеш?
Променливите тагове създават двусмислие. Един и същ таг може да сочи към различно съдържание във времето. Версионирането по хеш премахва тази несигурност.
Откриване на подмяна
Всяка промяна на артефакта променя хеша му. Несъответствие при изтегляне = провал при разгръщане. Подмяната не може да бъде скрита.
Одитна следа
Знайте точно кой артефакт е разгръщан къде, кога и защо — с криптографско доказателство, свързващо сканиране, одобрение и разгръщане.
Смислен откат
Откат връща към точно известни добри хешове, не към „каквото сочи :latest в момента“. Същите байтове, гарантирано.
Структура на изданието
Изданието в пакет „Стела“ пакетира множество компоненти, всеки идентифициран с OCI хеш. Самият издание има семантична версия за човешка четимост.
Примерен пакет за издание
Издание: myapp-v2.3.1
Компоненти:
api: sha256:abc123...
worker: sha256:def456...
frontend: sha256:789ghi...
Създавайте и управлявайте издания от CLI
$ stella release create --name myapp-v2.3.1 --components api:v2.3.1,worker:v2.3.1
stella release list --environment production\nstella release show myapp-v2.3.1 --componentsРазрешаване таг → хеш
Когато създадете издание, пакет „Стела“ веднага разрешава всички тагове към текущите им хешове. От този момент изданието е неизменяем.
- Тагове като :v2.3.1 се разрешават към sha256:abc123... при създаване
- Ако някой публикува нов образ към същия таг, вашият издание не се променя
- Запитванията към регистъра винаги използват синтаксиса @sha256:хеш — без повторно разрешаване на тагове
Гаранция за неизменяемост
След като изданието е създаден, наборът от хешове не може да се промени. Същите байтове се разгръщат във всяка среда, всеки път.
Генерирани артефакти
Всяко разгръщане генерира неизменяеми артефакти, които позволяват възпроизводимост, одит и откат.
compose.stella.lock.yml
Docker Compose файл с всички препратки към образи, фиксирани към конкретни хешове. Включва пакет „Стела“ метаданни за проследимост.
image: registry.example.com/myapp/api@sha256:abc123...
labels:
stella.release.id: "rel-uuid"
stella.digest: "sha256:abc123..."
stella.version.json
JSON файл с метаданни, поставян на целите за разгръщане, показващ текущия издание, компоненти, стратегия за разгръщане и предишна версия за откат.
"release": { "name": "myapp-v2.3.1" }
"deployment": { "strategy": "rolling" }
"previous": { "digest": "sha256:789..." }
"signature": "base64-encoded-signature"
Свързване на доказателства
Всеки издание обвързва доказателствата за сигурност с точните хешове, които се разгръщат. Доказателствата пътуват с изданието при придвижване.
| Поле за доказателства | Съдържание |
|---|---|
| sbomDigest | SHA-256 на SBOMSoftware Bill of Materials – пълен списък на всички пакети и зависимости във вашия софтуер, генериран за този хеш |
| scanVerdict | Резултат (pass/fail) от оценката на политиката с препратки към доказателствата |
| reachabilityProof | CAS URI на подписания граф на достижимост за този хеш |
| policyHash | Хеш на версията на политиката, използвана за оценка |
Детерминистично възпроизвеждане: При същия издание и хеш на политиката преоценката дава битово идентични решения. Одиторите могат да проверяват решения месеци по-късно.
Готови ли сте за неизменяема идентичност на изданието?
Инсталирайте пакет „Стела“ и започнете да версионирате изданията по хеш на съдържанието с пълно свързване на доказателства.