SPDX 3.0.1
Най-новият ISO/IEC 5962 стандарт с пълни метаданни за доставчика и SPDX лицензни изрази.
Първокласен SBOM & VEX
Знайте какво има в контейнерите ви
Генерирайте индустриално-стандартни SBOM-и и прилагайте VEX декларации от много източници — с вградено разрешаване на конфликти и офлайн верификация.
Какво означава това за вашия бизнес
Знайте точно какво съдържа всяко издание и кои съвети се прилагат. Пакет „Стела“ генерира подписани SBOM и разрешава противоречиви VEX изявления, за да получат екипите по съответствие ясна картина. VEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст
Индустриално-стандартни формати
Пакет „Стела“ генерира SBOM-и във форматите, които аудиторите и екипите по съответствие очакват.
CycloneDX 1.7
OWASP CycloneDX с интегрирана VEX поддръжка и разширения за граф на зависимостите.
Генерирайте, верифицирайте и публикувайте SBOM-и от CLI
$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwriteЗащо е важно
SBOM-ите стават задължителни. Пакет „Стела“ ги прави практични.
Възпроизводими резултати
Същият имидж, същият SBOM — всеки път. Аудиторите могат да верифицират резултатите ви независимо.
Работи офлайн
Генерирайте и верифицирайте SBOM-и в изолирани среди. Не са нужни външни извиквания.
Готовност за съответствие
Поддържа EO 14028, EU CRA и други изисквания за сигурност на веригата на доставки със подписани, проверими SBOM-и.
Криптографски подписани
Всеки SBOM е подписан и защитен от подправяне. Доказателство, на което можете да вярвате.
VEX: Контекст за уязвимостите
Не всяко CVE ви засяга. VEX декларациите позволяват на доставчиците и вашия анализ да кажат кои уязвимости наистина имат значение.
Засегнат
Не е засегнат
Поправен
В разследване
VEX премахва шума: CVE в библиотека, която не използвате, не е ваш проблем. Пакет „Стела“ прилага VEX декларации автоматично.
Какво означава това за вашия бизнес
Когато скенерите не се съгласяват, вижте всички доказателства вместо мълчаливо заменяне. Пакет „Стела“ показва конфликтите, за да може екипът ви да взема информирани решения — по-малко пропуснати уязвимости, по-малко излишна ремедиация.
How conflict states are computed (advanced)
Когато множество VEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст източници не са съгласни, пакет „Стела“ използва четиризначната логика на Belnap за изчисляване на окончателното състояние. Конфликтите стават видими, не скрити. ⊥ Неизвестно Няма информация още. Състояние по подразбиране преди VEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст декларация. Т Засегнат Поне един издател твърди, че тази уязвимост ви засяга. Е Не е засегнат Поне един издател твърди, че не сте засегнати. ⊤ Конфликт Множество издатели не са съгласни. Изисква преглед или override от по-висок авторитет. Доставчикът казва „не е засегнат“, но вашият сонда по време на изпълнение е видял извикване на функцията? Резултат: Конфликт (⊤) — несъгласието е видимо, не прикрито. Без мълчаливо потискане. Без скрити предположения. Несигурността се проследява и показва.Read more
How conflict states are computed (advanced)
Когато множество
Read moreVEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст източници не са съгласни, пакет „Стела“ използва четиризначната логика на Belnap за изчисляване на окончателното състояние. Конфликтите стават видими, не скрити. ⊥ Неизвестно Няма информация още. Състояние по подразбиране преди VEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст декларация. Т Засегнат Поне един издател твърди, че тази уязвимост ви засяга. Е Не е засегнат Поне един издател твърди, че не сте засегнати. ⊤ Конфликт Множество издатели не са съгласни. Изисква преглед или override от по-висок авторитет. Доставчикът казва „не е засегнат“, но вашият сонда по време на изпълнение е видял извикване на функцията? Резултат: Конфликт (⊤) — несъгласието е видимо, не прикрито. Без мълчаливо потискане. Без скрити предположения. Несигурността се проследява и показва.Когато множество VEX източници не са съгласни, пакет „Стела“ използва четиризначната логика на Belnap за изчисляване на окончателното състояние. Конфликтите стават видими, не скрити.
⊥
Неизвестно
Няма информация още. Състояние по подразбиране преди VEX декларация.
Т
Засегнат
Поне един издател твърди, че тази уязвимост ви засяга.
Е
Не е засегнат
Поне един издател твърди, че не сте засегнати.
⊤
Конфликт
Множество издатели не са съгласни. Изисква преглед или override от по-висок авторитет.
Доставчикът казва „не е засегнат“, но вашият сонда по време на изпълнение е видял извикване на функцията? Резултат: Конфликт (⊤) — несъгласието е видимо, не прикрито.
Без мълчаливо потискане. Без скрити предположения. Несигурността се проследява и показва.
Multi-source VEX aggregation (advanced)
Доставчици, дистрибутори и вашият екип по сигурност могат всички да публикуват VEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст декларации. Пакет „Стела“ ги агрегира и обработва несъгласията автоматично. Импортирайте VEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст от софтуерни доставчици, Linux дистрибутори и вътрешни източници Теглови консенсус при несъгласие на източниците — конфликтите стават видими Вашите вътрешни оценки могат да презапишат външни декларации Една версия на истината Вместо да жонглирате с таблици и имейли, получете един авторитетен изглед за това кои уязвимости засягат вашия рилийз.Read more
Multi-source VEX aggregation (advanced)
Доставчици, дистрибутори и вашият екип по сигурност могат всички да публикуват
Read moreVEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст декларации. Пакет „Стела“ ги агрегира и обработва несъгласията автоматично. Импортирайте VEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекст от софтуерни доставчици, Linux дистрибутори и вътрешни източници Теглови консенсус при несъгласие на източниците — конфликтите стават видими Вашите вътрешни оценки могат да презапишат външни декларации Една версия на истината Вместо да жонглирате с таблици и имейли, получете един авторитетен изглед за това кои уязвимости засягат вашия рилийз.Доставчици, дистрибутори и вашият екип по сигурност могат всички да публикуват VEX декларации. Пакет „Стела“ ги агрегира и обработва несъгласията автоматично.
- Импортирайте
VEXVulnerability Exploitability eXchange – машинно четими изявления дали уязвимостите са реално експлоатируеми във вашия контекстот софтуерни доставчици, Linux дистрибутори и вътрешни източници - Теглови консенсус при несъгласие на източниците — конфликтите стават видими
- Вашите вътрешни оценки могат да презапишат външни декларации
Една версия на истината
Вместо да жонглирате с таблици и имейли, получете един авторитетен изглед за това кои уязвимости засягат вашия рилийз.
Готови за практично SBOM съответствие?
Инсталирайте Пакет „Стела“ и започнете да генерирате SBOM-и готови за аудит с многоизточникова VEX поддръжка.