Sicherheitsentscheidungen

Entscheidungen, die Sie beweisen und wiederholen können

Steuern Sie Releases mit Richtlinienauswertung, Lattice-VEX-Auflösung und deterministischen Urteilen. Jede Entscheidung exportiert eine signierte, wiederholbare Kapsel.

Zugang anfragen Dokumentation ansehen

Das Problem mit typischen Sicherheits-Workflows

Scanner-Befunde häufen sich. Ausnahmen sammeln sich an. Sechs Monate später kann niemand erklären, warum eine CVE als ‚akzeptabel' markiert wurde.

Typischer Sicherheits-Workflow

✗ VEX?Vulnerability Exploitability eXchange – maschinenlesbare Aussagen darüber, ob Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind als blinde Unterdrückung — ‚als nicht betroffen markieren'
✗ Widersprüchliche Aussagen ignoriert, nicht aufgelöst
✗ Entscheidungen über Tickets und E-Mails verstreut
✗ Keine Möglichkeit zu beweisen, was zum Entscheidungszeitpunkt bekannt war

Stella Entscheidungsfindung

✓ VEX?Vulnerability Exploitability eXchange – maschinenlesbare Aussagen darüber, ob Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind als Zustand — Konflikte werden erkannt und verfolgt
✓ Vertrauensgewichteter Konsens mit Begründung
✓ Entscheidungen in exportierbaren Kapseln versiegelt
✓ Deterministisches Replay mit eingefrorenen Eingaben

VEX-Konsens-Engine

Keine blinde Unterdrückung. Ein 5-Zustands-Lattice mit Vertrauensgewichtung, Konflikterkennung und exportierbarer Begründung.

5-Zustands-VEX-Lattice

VEX-Aussagen werden durch ein vertrauensgewichtetes Lattice aufgelöst. Konflikte sind erstklassiger Zustand, keine versteckten Fehler.

Behoben

Nicht betroffen

Betroffen

Konflikt

Unbekannt

Vertrauensvektor-Bewertung

9 Faktoren: Herausgeberautorität, Spezifität, Aktualität und mehr.

Konflikterkennung

Widersprüchliche Behauptungen werden zur Auflösung markiert, nicht stillschweigend zusammengeführt.

Aktualitätsverfall

14-Tage-Halbwertszeit stellt sicher, dass veraltete Behauptungen an Einfluss verlieren.

7 CSAF-Anbieter

RedHat, Ubuntu, Oracle, MSRC, Cisco, SUSE, VMware.

Begründungsexport

Audit-fähige Erklärbarkeit für jeden Konsens.

Konflikt-Studio UI

Visuelle Auflösung für widersprüchliche VEX-Behauptungen.

Richtlinien-Engine

10+ Gate-Typen mit Belnap K4 vierwertige Logik. Wahr, Falsch, Beides und Keines sind alle gültige Zustände.

Richtlinien-Gate-Typen

→ Schweregrad-Schwellenwert-Gates (CVSS?Common Vulnerability Scoring System – eine Schweregradbewertung von 0–10, die angibt, wie kritisch eine Schwachstelle ist, EPSS?Exploit Prediction Scoring System – ein Wahrscheinlichkeitswert (0–100 %), der vorhersagt, wie wahrscheinlich eine Schwachstelle ausgenutzt wird)
→ Erreichbarkeitsanforderung für Kritische
→ Unbekannte-Budget-Gate — Unsicherheit verfolgt
→ Quellen-Quoten-Gate — 60%-Grenze durchgesetzt
→ OPA?Open Policy Agent — eine Open-Source-Policy-Engine für feingranulare, kontextbezogene Richtliniendurchsetzung über den gesamten Stack/Rego-Integration für benutzerdefinierte Regeln

Risikobewertung

→ CVSS?Common Vulnerability Scoring System – eine Schweregradbewertung von 0–10, die angibt, wie kritisch eine Schwachstelle ist v4.0, EPSS?Exploit Prediction Scoring System – ein Wahrscheinlichkeitswert (0–100 %), der vorhersagt, wie wahrscheinlich eine Schwachstelle ausgenutzt wird v4 Wahrscheinlichkeit
→ KEV?Known Exploited Vulnerabilities – CISAs Katalog aktiv ausgenutzter Schwachstellen (Known Exploited) Erkennung
→ Erreichbarkeitsbewusste Gate-Multiplikatoren
→ Benutzerdefinierte Bewertungsprofile
→ Richtliniensimulation vor Deployment

Entscheidungskapseln

Jede Gate-Auswertung produziert ein versiegeltes, exportierbares Nachweisbündel. Sechs Monate später die exakte Entscheidung wiederholen.

Was in einer Kapsel ist

✓ Artefakt-Digest (SHA-256)

✓ -Snapshot

✓ Erreichbarkeitsnachweise

✓ -Status (Lattice-aufgelöst)

✓ Richtlinienversion + Urteil

✓ Genehmigungssignaturen

Terminal

$ stella replay decision-capsule-2026-01-15.yaml --verify
Entscheidung vom 2026-01-15T14:32:00Z wird replayt...
Policy-Version: sha256:e5f6g7h8... (passt)
Feed-Snapshot:  sha256:i9j0k1l2... (passt)
VEX-Stand:      sha256:m3n4o5p6... (passt)
Verdikt:  ALLOW (identisch zum Original)
Determinismus-Check: PASSED

Gleiche Inputs → gleiche Outputs. Audit-bereit.

Attestierung & Signierung

Signatur-Infrastruktur

→ DSSE?Dead Simple Signing Envelope – ein einfacher, flexibler Standard zum Signieren beliebiger Daten mit kryptographischen Signaturen-Envelope-Signierung mit in-toto?Ein Framework zur Absicherung der Software-Lieferkette durch Überprüfung, dass jeder Schritt wie geplant und von autorisierten Akteuren durchgeführt wurde
→ Schlüssellose Signierung via Sigstore?Open-Source-Projekt, das kostenlose Code-Signierung und Transparenzprotokoll-Infrastruktur für die Software-Lieferkette bereitstellt/Fulcio
→ Rekor?Transparenzprotokoll von Sigstore, das ein unveränderliches, manipulationssicheres Register von Software-Signaturen bereitstellt Transparenzlog-Integration
→ Schlüsselrotationsdienst mit HSM-Unterstützung

25+ Prädikattypen

→ SBOM?Software Bill of Materials – eine vollständige Liste aller Pakete und Abhängigkeiten in Ihrer Software-, VEX?Vulnerability Exploitability eXchange – maschinenlesbare Aussagen darüber, ob Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind-, Erreichbarkeitsprädikate
→ Richtlinienentscheidungsprädikate
→ Menschliche Genehmigungsprädikate
→ SLSA?Supply-chain Levels for Software Artifacts — ein Framework zur Sicherstellung der Integrität von Software-Artefakten in der gesamten Lieferkette Provenance v1.0

Was es anders macht

Erklärbare Urteile

Jede Entscheidung enthält Begründungsspuren und Bewertungsaufschlüsselungen.

Unbekannte als Zustand

Unsicherheit wird verfolgt und budgetiert, nicht versteckt oder ignoriert.

Deterministisches Replay

Gleiche Eingaben, gleiche Ausgaben. Beweisen Sie jede Entscheidung Monate später.

Bereit für Entscheidungen, die Sie beweisen können?

Beginnen Sie mit der Richtlinieneinrichtung und Ihrer ersten Gate-Auswertung.

Zugang anfragen Dokumentation ansehen

Release-Orchestrierung · Beweis-Engine · Nachweise & Audit