Сигурност и отговорно разкриване

Докладване на уязвимост

Имейл: security@stella-ops.org

PGP: 9BCF 5D1D 6EA9 8F99 24F4 6071 B618 ABAF 7D23 C65D 7A86 77E8 2DE3 7815 6126 F723

Моля включете:

• Въздействие + засегнат компонент/версия
• Стъпки за възпроизвеждане или PoC
• Логове/екранни снимки
• Предпочитан timeline за disclosure

Потвърждаваме до 72 часа и комуникираме до публикуване на fix.

Верификация на това, което пускате

Ключове: /keys/

Верификация на контейнерен образ

cosign verify \
  --key https://stella-ops.org/keys/cosign.pub \
  registry.stella-ops.org/stella-ops/stella-ops:<VERSION>

Верификация на Офлайн комплект

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature stella-ops-offline-kit-<DATE>.tgz.sig \
  stella-ops-offline-kit-<DATE>.tgz

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature offline-manifest-<DATE>.json.jws \
  offline-manifest-<DATE>.json

Контроли в експлоатация

• Цялост на изданието: Cosign?Инструмент за подписване на контейнери от проекта Sigstore за подписване и верификация на образи и артефакти подписи + DSSE?Dead Simple Signing Envelope – прост, гъвкав стандарт за подписване на произволни данни с криптографски подписи пакет към точния Git tag
• Верига от доказателства: подписани и възпроизвеждаеми Капсули за решение (/evidence/)
• Логове: 7 дни, после ip → sha256(ip)
• JWT регистър: само хеш на идентификатор на токена (без email/IP)
• Валидация: възможна офлайн чрез публикуваните публични ключове
• Hardening: non-root, CPU/RAM лимити, SELinux/AppArmor
• Поддръжка за изолирани среди: Офлайн комплект (/offline/)

Нулева телеметрия

Без analytics/trackers/third-party JS.

Детайли: /privacy/