Свържете. Пакетирайте. Контролирайте. Разгърнете.

Свържете CI изхода и целите за разгръщане, оценете политиките върху доказателства, свързани с хеш, после придвижете изданието с подписани записи. Резултатът е по-малко достижими CVE за преглед, детерминистично възпроизвеждане и по-бърз одитен отговор.

Заявете достъп Прочетете документацията

Опорни доказателствени точки

Всяко твърдение сочи към проверими доказателствени артефакти, работен поток за възпроизвеждане и спецификационна документация.

Връзки към доказателства и методология: Доказателства и одит | Спецификация на Капсула за решение | Операции и разгръщане

След първоначалната настройка ще имате:

1. Първия си образ, сканиран със SBOM?Software Bill of Materials – пълен списък на всички пакети и зависимости във вашия софтуер + анализ по достижимост
2. Подписана Капсула за решение, която доказва резултатите от сканирането
3. Едно пълно придвижване от dev към staging с доказателства

Къде се вписва Пакет „Стела“

Пакет „Стела“ стои между вашето CI и сървърите ви. CI изгражда образи. Пакет „Стела“ решава дали могат да бъдат промотирани, внедрява ги на цели извън Kubernetes (Compose, SSH/WinRM, ECS, Nomad) и експортира доказателства за одит.

Преглед на архитектурата

Контролният слой на пакет „Стела“ стои между входовете ви (CI/CD, регистри, фийдове) и изходите ви (цели за разгръщане, одитни системи). Доказателствата преминават през него и се запечатват на всяка стъпка.

Stella Ops Architecture Diagram — Архитектура на пакет „Стела“ — самостоятелно хостван с модули за всеки слой и възможност за допълнения чрез разширения (plugins)

Жизнен цикъл на изданието накратко

Свържете, пакетирайте, контролирайте, разположете и експортирайте Капсула за решение с доказателства, обвързани с хеша на артефакта.

Свържете регистър, SCM, CI и инфраструктура

Свържете вашите контейнерни регистри, CI конвейери и инфраструктурни компоненти, за да изградите регистър на изданията, базиран на хеш. Пакет „Стела“ следи нови образи и координира със съществуващата ви инфраструктура.

Източник и регистър

→ Docker Hub, Harbor, ECR, GCR, ACR
→ GitHub, GitLab, Bitbucket Webhooks
→ Дженкинс, GitHub Actions, GitLab CI

Инфраструктура

→ HashiCorp Vault за тайни
→ HashiCorp Consul за регистър на услуги
→ SSH/WinRM за отдалечени цели (без агент по замисъл)

Създайте пакет за издание

Захванете хеши на артефакти, SBOM и произход като единична единица за придвижване. Пакетът преминава през средите, натрупвайки доказателства на всяка стъпка.

→ Генериране на SBOM?Software Bill of Materials – пълен списък на всички пакети и зависимости във вашия софтуер CycloneDX?Отворен стандартен формат за SBOM, използван в цялата индустрия / SPDX?Software Package Data Exchange – друг отворен стандартен формат за SBOM, широко използван в софтуер с отворен код
→ Атестация за произход SLSA?Supply-chain Levels for Software Artifacts — рамка за осигуряване на целостта на софтуерните артефакти по цялата верига за доставки
→ Съдържателно адресирана идентичност на артефакт (SHA-256)

Контролирайте с хибридна достижимост + политика

Оценете политиката спрямо доказателствата при всяко придвижване. Хибридният анализ на достижимост използва три слоя, за да определи кои уязвимости вашият код реално извиква:

1. Статичен анализ

Извличане на граф на извикванията от байт код/изходен код

2. Анализ на манифести

Изрази import/require, дървета на зависимости

3. Трасиране по време на изпълнение

Опционални данни за профилиране за по-висока увереност

Терминал

$ stella gate evaluate --env stage --artifact sha256:abc123...
✓ 487 CVE намерени в зависимости
✓ 475 НЕ ДОСТИЖИМИ (хибриден анализ)
! 12 ДОСТИЖИМИ (оценени спрямо политика)
Решение по политика: ПРЕМИНАТО — 12 достижими CVE под прага
Оценката на контролната точка е записана: evidence/gate-stage-2025-07-15.json

Резултат: значително по-малко фалшиви положителни резултати в сравнение с традиционното броене на CVE.

Разгърнете + експортирайте Капсула за решение

Изпълнете разгръщане към вашите цели и експортирайте подписан пакет с доказателства. Конфигурирайте среди чрез SSH/WinRM или използвайте вградените доставчици — всички разгръщания са без агент по замисъл.

Цели за разгръщане

→ Docker Compose разгръщания
→ AWS ECS / Fargate
→ HashiCorp Nomad
→ Скриптови разгръщания (.NET 10)

Настройка на среда

→ SSH за Linux/Unix цели
→ WinRM за Windows цели
→ Vault за инжектиране на тайни
→ Consul за откриване на услуги

Капсулите за решения са подписани с DSSE и съдържат всичко за експорт на одит и детерминистично възпроизвеждане.

Разликата на достижимостта

Без достижимост

487 CVE?Common Vulnerabilities and Exposures – уникален идентификатор за публично известна уязвимост за сортиране
Дни разследване
Без одитна следа
Отгатване на експлоатируемост
Еднократни изключения

С пакет „Стела“

12 достижими CVE?Common Vulnerabilities and Exposures – уникален идентификатор за публично известна уязвимост за поправка
Часове до решение
Експорт на Капсула за решение
Доказателство за пътища на извикване
Контроли, управлявани от политика

Какво получават одиторите

Всяка Капсула за решение съдържа:

Точен хеш на артефакт (SHA-256)
Снимка на SBOM?Software Bill of Materials – пълен списък на всички пакети и зависимости във вашия софтуер (CycloneDX?Отворен стандартен формат за SBOM, използван в цялата индустрия/SPDX?Software Package Data Exchange – друг отворен стандартен формат за SBOM, широко използван в софтуер с отворен код)
Доказателства за достижимост (подписани графи)
Версия на политика + решение
VEX?Vulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст състояние (решетъчно разрешено)
Подписани записи за одобрение

Одиторите могат независимо да проверят подписите и да възпроизведат решението офлайн с stella replay.

Готови ли сте да го видите в действие?

Заявете достъп Прочетете документацията

Вижте всички функции | Доказателства и одит | Документация