Доказателства и одит

Докажете всяко решение. Възпроизведете го месеци по-късно.

Капсулите за решения запечатват доказателства, така че одиторите да могат да проверят всяко издание офлайн, независимо и бит по бит.

Заявете достъп Прочетете спецификацията

Какво означава това за вашия бизнес

Доказателства за съответствие, генерирани автоматично — проверявайте и възпроизвеждайте месеци по-късно, дори офлайн. Всяко решение за издаване е запечатано в подписана Капсула на решение, която одиторите могат да проверят независимо. Decision Capsule?Подписан, експортируем пакет доказателства, запечатващ всеки вход и изход на решение за издаване за офлайн одит и детерминистично възпроизвеждане

Поглед на одитора: какво получавате

Експортирането на Капсула за решение създава подписан пакет, адресиран по съдържание, с точните входове и изходи за решението за издание.

Точният SBOM?Software Bill of Materials – пълен списък на всички пакети и зависимости във вашия софтуер, използван при сканирането
Замразени снимки на фийдовете за уязвимости (NVD?National Vulnerability Database – държавното хранилище на САЩ за стандартизирани данни за уязвимости, OSV?Open Source Vulnerabilities – разпределена база данни за уязвимости в проекти с отворен код, vendor advisories)
Доказателства за достижимост (артефакти от статични графи и следи по време на изпълнение)
Версия на политиката и lattice правила за контрол
Производно VEX?Vulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст изявление с обосновки
DSSE?Dead Simple Signing Envelope – прост, гъвкав стандарт за подписване на произволни данни с криптографски подписи подписи върху съдържанието на капсулата

Източник: Документация за Капсули за решение

Какво е пакет с доказателства?

Съдържание

Всяка Капсула за решение обединява точния SBOM, замразени източници за уязвимости, графи за достижимост, версия на политиката, изведен VEX и метаданни за одобрение.

Подписване

DSSE/in-toto подписите правят пакетите устойчиви на подправяне. Изберете FIPS-съвместими, GOST R 34.10, SM2/SM3 или eIDAS-съвместими криптографски профили (валидацията зависи от вашия доставчик на ключове). Cosign?Инструмент за подписване на контейнери от проекта Sigstore за подписване и верификация на образи и артефакти Sigstore?Проект с отворен код, предоставящ безплатна инфраструктура за подписване на код и журнали за прозрачност

Експорт

Експортирайте капсули на всяка стъпка от придвижванета. Съхранявайте в Хранилище за доказателства с WORM семантика за периоди на съхранение за съответствие.

Възпроизвеждане

Използвайте stella replay, за да стартирате историческо решение със същите входни данни и да потвърдите същия резултат.

Примерна структура на капсулата

Всяка Капсула за решение е самостоятелна директория с подписани артефакти:

decision-capsule-20260126-prod-a1b2/
|- manifest.json         # Метаданни на капсулата + подписи
|- sbom.cdx.json         # CycloneDX 1.7 SBOM
|- sbom.cdx.json.sig     # DSSE подпис
|- reachability/
|  |- analysis.json      # Вердикти за достижимост
|  |- call-graph.json    # Доказателство от статичен анализ
|  `- analysis.json.sig  # DSSE подпис
|- policy/
|  |- rules.rego         # Снимка на политиката
|  `- verdict.json       # Решение на контролната точка + обосновка
|- approvals/
|  `- jsmith.sig         # Подпис за човешко одобрение
`- feeds/
   `- snapshot.json      # Замразено състояние на CVE/бюлетини

Manifest structure (advanced)

Манифестът на капсулата фиксира всеки вход и изход по хеш, за да може решението да се възпроизведе по-късно. apiVersion: capsule.stellaops.dev/v1 metadata: id: "cap-2025-12-11-abc123" timestamp: "2025-12-11T14:30:00Z" scan_id: "scan-xyz789" inputs: sbom: format: "cyclonedx@1.6" digest: "sha256:..." feeds: - name: "nvd" snapshot: "2025-12-11" digest: "sha256:..." policy: version: "corp-policy@2025-12-01" digest: "sha256:..." outputs: vex: format: "openvex" digest: "sha256:..." signatures: - scheme: "DSSE" profile: "FIPS-aligned" signer: "build-ca@corp"

Манифестът на капсулата фиксира всеки вход и изход по хеш, за да може решението да се възпроизведе по-късно.

apiVersion: capsule.stellaops.dev/v1
metadata:
  id: "cap-2025-12-11-abc123"
  timestamp: "2025-12-11T14:30:00Z"
  scan_id: "scan-xyz789"
inputs:
  sbom:
    format: "cyclonedx@1.6"
    digest: "sha256:..."
  feeds:
    - name: "nvd"
      snapshot: "2025-12-11"
      digest: "sha256:..."
  policy:
    version: "corp-policy@2025-12-01"
    digest: "sha256:..."
outputs:
  vex:
    format: "openvex"
    digest: "sha256:..."
signatures:
  - scheme: "DSSE"
    profile: "FIPS-aligned"
    signer: "build-ca@corp"

Verification commands (step-by-step)

Одиторите могат да проверяват подписи, целостта и да възпроизвеждат решения самостоятелно — без инфраструктура на пакет „Стела“. 1 $ cosign verify-blob --key example-capsule.pub --signature example-capsule.sig example-capsule.tar.gz Проверете подписа на примерната капсула с cosign (демо ключ) 2 $ tar -xzf example-capsule.tar.gz && stella capsule verify ./decision-capsule-2026-01-20/ Разархивирайте капсулата и проверете хешовете на манифеста 3 $ stella replay ./decision-capsule-2026-01-20/ --offline Възпроизведете решението със замразени входни данни И трите команди работят офлайн. Доказателствата пътуват с капсулата.

Одиторите могат да проверяват подписи, целостта и да възпроизвеждат решения самостоятелно — без инфраструктура на пакет „Стела“.

1

$ cosign verify-blob --key example-capsule.pub --signature example-capsule.sig example-capsule.tar.gz
Проверете подписа на примерната капсула с cosign (демо ключ)
2

$ tar -xzf example-capsule.tar.gz && stella capsule verify ./decision-capsule-2026-01-20/
Разархивирайте капсулата и проверете хешовете на манифеста
3

$ stella replay ./decision-capsule-2026-01-20/ --offline
Възпроизведете решението със замразени входни данни

И трите команди работят офлайн. Доказателствата пътуват с капсулата.

Пробвайте: примерна Капсула за решение

Изтеглете обезличена примерна капсула, за да разгледате структурата и да изпълните команди за проверка локално.

Съдържа: SBOM, доказателство за достижимост, снимка на политиката, примерни одобрения. Подпис и публичен ключ за локална проверка.

Изтеглете примерна капсула Изтеглете подписа Изтеглете публичния ключ

Верига от доказателства

Как доказателствата преминават през пакет „Стела“

Какво съдържа Капсулата за решение

Хеш на артефакт

SHA-256 адрес по съдържание

Подписан

Снимка на SBOM

CycloneDX 1.7 / SPDX 3.0

Подписан

Доказателство за достижимост

Граф + атестации на ребра

Подписан

VEX състояние

Решетъчно разрешен резултат

Подписан

Версия на политика

Адресирано по съдържание Rego/DSL

Подписан

Одобрения

Подписани записи за одобрение

Подписан

Работен процес за съответствие

Одиторите могат да възпроизведат решения месеци по-късно

1
Одиторът пита
"Покажете ми доказателство, че тази CVE е била обработена правилно в януарския издание."
2
Операторът експортира
stella capsule export jan-release-capsule.yaml --format audit-bundle
3
Одиторът верифицира пакета
Одиторът изпълнява stella capsule verify jan-release-capsule.yaml — подписите се проверяват, хешите съвпадат.
4
Възпроизвеждането потвърждава
stella replay jan-release-capsule.yaml произвежда идентичен резултат със замразени входни данни.

Детерминистично възпроизвеждане

Стартирайте същото решение 6 месеца по-късно — същите замразени входни данни произвеждат идентичен резултат. Без мрежа, без дрейф на състоянието, без двусмислие.

Проверете подписите на капсулата с фиксирани ключове.
Потвърдете, че хешите на SBOM?Software Bill of Materials – пълен списък на всички пакети и зависимости във вашия софтуер и фийда съвпадат с манифеста.
Възпроизведете със същия пакет от политики и входове за достижимост.
Експортирайте одитния пакет с вердикт, VEX?Vulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст и доказателства.

Терминал

$ stella replay capsule.json --verify
Възпроизвеждане на решение от 2025-07-15T14:32:00Z...
Версия на политиката: sha256:e5f6g7h8... (съвпада)
Снимка на фийда:  sha256:i9j0k1l2... (съвпада)
Вердикт: РАЗРЕШЕНО (идентичен с оригинала)
Проверка на детерминизъм: ПРЕМИНАТО

Формати и оперативна съвместимост

SBOM

CycloneDX 1.6 и SPDX 2.3/3.0. Импортиране от Trivy, Grype, Syft или генериране вътрешно.

VEX

OpenVEX и CSAF 2.0. Решетъчна резолюция от множество издатели с откриване на конфликти.

SARIF

Експорт във формат за обмен на резултати от статичен анализ за IDE и CI интеграция.

Верификация в изолирана среда

Одиторите верифицират подписи, проверяват цялост на хеши и възпроизвеждат решения без мрежов достъп. Целият криптографски материал пътува с капсулата.

Терминал

$ stella capsule verify decision-capsule.yaml --offline
Проверка на подписа: ПРЕМИНАТО (ECDSA-P256)
Съвпадение на хеш:           ПРЕМИНАТО (sha256:abc123...)
Версия на политиката:         ВАЛИДНА (v3.2.1)
Цялост на доказателствата:     ВСИЧКИ КОМПОНЕНТИ ПОДПИСАНИ
Вердикт:                РАЗРЕШЕНО — не е нужна мрежа

Състояние на независими артефакти на доверие

Купувачите, които оценяват внедряването на производството, обикновено искат валидиране от трета страна в допълнение към доказателствата от първа страна. Този раздел показва какво вече е публично и какво все още е в ход.

Обществено сега

Ключовете за проверка, подписаните примери за капсули, детерминистичните команди за повторение и структурите на доказателства за експортиране са публично достъпни.

В ход

Обобщенията за оценка на трети страни и назованите пилотни казуси все още не са публикувани като публични артефакти.

За дължимата грижа

Пакетът за сигурност, доказателствата за архитектурата и дискусиите за пилотни референтни файлове могат да бъдат обхванати по време на оценката за екипи с врати за обществени поръчки.

Започнете с Ключове за проверка, Пакет за сигурност, и Контакт да поискате материали за преглед на предприятието.

Готови ли сте да направите изданията одитируеми?

Заявете достъп Как работи

Прочетете спецификацията за Капсулата за решение · Вижте всички функции