Достижимост като доказателство
Трислоен анализ — статични графи на извикванията, съвпадение на бинарни символи, eBPF сонди по време на изпълнение — произвежда подписани DSSE доказателства, които значително намаляват фалшивите позитиви.
Какво означава това за вашия бизнес
Поправяйте само уязвимости, които вашето приложение реално може да достигне — пропуснете останалите. Пакет „Стела“ доказва кои CVE са достижими, за да може екипът ви да се фокусира върху реалните рискове, а не върху шума от скенерите. ReachabilityАнализ, доказващ дали уязвимият код реално се извиква от приложението ви — филтрира фалшиви положителни от шума на скенерите
До 70-90%
Типично намаляване на шума
Наблюдаваният диапазон варира според стека и покритието.
3
Слоеве на анализа
Статични графи на извиквания, бинарни символи, eBPF сонди по време на изпълнение
100%
Подписано и възпроизводимо
Всеки вердикт за достижимост е доказателство, подписано с DSSE
Всеки слой предоставя прогресивно по-силно доказателство, че уязвима функция е (или не е) достижима от вашия код. CVECommon Vulnerabilities and Exposures – уникален идентификатор за публично известна уязвимост
Извличане на графи на извикванията от байт код, AST и изходен код. Проследяване на пътища от входни точки до уязвими символи.
Съвпадение на уязвими символи срещу експорти на компилирания бинарен файл. Потвърждава, че кодът реално е свързан.
Опционално продукционно профилиране. Улавя реални извиквания на функции по време на изпълнение.
eBPFExtended Berkeley Packet Filter — технология на ядрото на Linux, която изпълнява изолирани програми за високопроизводителен мониторинг и анализ по време на изпълнение без модули на ядрото инструментацияРезултат: значително по-малко фалшиви положителни резултати. Фокусирайте се върху 12 достижими CVE вместо 487 теоретични.
Доказателствата за достижимост са съдържателно-адресирани за дедупликация и проверка. Хешовете на възли позволяват ефективно сравняване между версии.
Хеш на възел
SHA256(normalize(purl) + ":" + normalize(symbol))
Хеш на път
SHA256(entryNodeHash + ":" + joinedIntermediateHashes + ":" + sinkNodeHash)
Топ-K значими пътища се запазват в пакета с доказателства. Пътищата се ранкират по честота на изпълнение (от средата по време на изпълнение) или дълбочина на извикване (от статичния анализ).
Когато анализът не може да определи достижимост, неопределеността се проследява явно — не се скрива или тихо приема за безопасна.
| Кошница за достижимост | Тегло по подразбиране |
|---|---|
| Входна точка | 1.0 |
| Директно извикване | 0.85 |
| Потвърдено в изпълнение | 0.45 |
| Неизвестно | 0.5 |
| Недостижимо | 0.0 |
Крайна оценка = max(bucket_weights) по всички пътища. Неизвестните възли допринасят за оценката на риска, вместо да бъдат игнорирани.
Преди да активирате твърдо блокиране в производството, проверете покритието на вашия собствен кодов корпус. Матрицата по-долу описва как да се оцени всеки път на език/време на изпълнение и как трябва да се третират неизвестните.
| Език/време на изпълнение | Статичен път на повикване | Двоично/символно доказателство | Доказателство по време на работа | Портал по подразбиране, когато е неизвестен |
|---|---|---|---|---|
| Напред, Rust, C/C++ | Валидирайте директното и преходно извличане на пътя на повикване | Проверете точността на съвпадението на символ/идентификатор на компилация | Незадължително eBPF потвърждение за услуги с висок риск | Преглед или блокиране на критични констатации по правила |
| Java и JVM езици | Валидирайте достижимостта на ниво метод и случаите на динамично изпращане | Валидирайте съпоставянето на байт код/jar символ | Препоръчват се следи по време на изпълнение за отразяващи пътища | Неизвестен маршрут към лентата за ръчен преглед |
| .NET | Валидирайте графиката на IL повикванията и родословието на пакета | Валидирайте разделителната способност на PDB/символ в компилациите на версията | Потвърждение по време на изпълнение за съкратени/AOT сценарии | Прегледайте неизвестните, преди да разрешите решение |
| Node, Python, Ruby, PHP | Валидирайте входните точки на рамката и динамичните граници на импортиране | Доказателството за символи е частично по проект за динамично изпращане | Проследяванията по време на изпълнение силно се препоръчват | Съхранявайте неизвестно като изрично състояние и изисквайте одобрение |
Препоръка за правилата: третирайте unknown като първокласна присъда, задайте изрични прагове за сериозност и регистрирайте причините за преодоляване на рецензента в пакета с доказателства.
DSSEDead Simple Signing Envelope – прост, гъвкав стандарт за подписване на произволни данни с криптографски подписи обвивка с формат на in-totoРамка за защита на веригата за доставки на софтуер чрез проверка, че всяка стъпка е изпълнена по план и от упълномощени участници SLSASupply-chain Levels for Software Artifacts — рамка за осигуряване на целостта на софтуерните артефакти по цялата верига за доставки предикат Проверимо от одитори без мрежов достъп Детерминистичното възпроизвеждане произвежда бит-идентични резултати Граф и следи архивирани за офлайн проверка Пътища за съдържателно-адресирано съхранение cas://reachability_graphs/<hh>/<sha>.tar.zst cas://runtime_traces/<hh>/<sha>.tar.zstВсеки анализ на достижимост произвежда криптографски подписано доказателство, съхранено в съдържателно-адресирано хранилище. DSSEDead Simple Signing Envelope – прост, гъвкав стандарт за подписване на произволни данни с криптографски подписи
DSSEDead Simple Signing Envelope – прост, гъвкав стандарт за подписване на произволни данни с криптографски подписи обвивка с формат на in-totoРамка за защита на веригата за доставки на софтуер чрез проверка, че всяка стъпка е изпълнена по план и от упълномощени участници SLSASupply-chain Levels for Software Artifacts — рамка за осигуряване на целостта на софтуерните артефакти по цялата верига за доставки предикатПътища за съдържателно-адресирано съхранение
cas://reachability_graphs/<hh>/<sha>.tar.zst
cas://runtime_traces/<hh>/<sha>.tar.zst
Опционална Tetragon-базирана инструментация улавя реални изпълнения на функции в продукция, предоставяйки доказателство за достижимост с най-висока сигурност.
Уловени данни от сонда
symbol_id: каноничен идентификатор на символ
code_id: идентификатор на секция от кода
hit_count: честота на изпълнение
loader_base: базов адрес в паметта
cas_uri: адресирана по съдържание референция
Сондите изпращат наблюдения към /api/v1/observations на партиди. Всяко наблюдение включва CAS URI за основния артефакт.
Инсталирайте пакет „Стела“ и започнете да произвеждате подписани доказателства за достижимост с трислоен анализ.