Beweis und Prüfung

Beweisen Sie jede Entscheidung. Spielen Sie es Monate später noch einmal ab.

Entscheidungskapseln versiegeln Beweise, sodass Prüfer jede Veröffentlichung überprüfen können – offline, unabhängig, Stück für Stück identisch.

Zugang anfragen Spezifikation lesen

Was das für Ihr Unternehmen bedeutet

Compliance-konforme Nachweise werden automatisch generiert — verifizieren und wiederholen Sie sie Monate später, auch offline. Jede Release-Entscheidung wird in einer signierten Decision Capsule versiegelt, die Auditoren unabhängig prüfen können. Decision Capsule?Ein signiertes, exportierbares Nachweispaket, das jeden Input und Output einer Release-Entscheidung für Offline-Audit und deterministische Wiedergabe versiegelt

Auditor-Sicht: was Sie erhalten

Der Export einer Entscheidungskapsel erzeugt ein signiertes, inhaltsadressiertes Bundle mit den exakten Inputs und Outputs für die Release-Entscheidung.

Genauer SBOM?Software Bill of Materials – eine vollständige Liste aller Pakete und Abhängigkeiten in Ihrer Software, der für den Scan verwendet wurde
Eingefrorene Schwachstellen-Feed-Snapshots (NVD?National Vulnerability Database – das US-Regierungsverzeichnis standardbasierter Schwachstellendaten, OSV?Open Source Vulnerabilities – eine verteilte Schwachstellendatenbank für Open-Source-Projekte, Hersteller-Advisories)
Erreichbarkeits-Evidenz (statische Call-Graph-Artefakte und Runtime-Traces)
Policy-Version und Lattice-Regeln für das Gating
Abgeleitetes VEX?Vulnerability Exploitability eXchange – maschinenlesbare Aussagen darüber, ob Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind-Statement mit Begründungen
DSSE?Dead Simple Signing Envelope – ein einfacher, flexibler Standard zum Signieren beliebiger Daten mit kryptographischen Signaturen-Signaturen über den Kapselinhalt

Quelle: Decision-Capsules-Dokumentation

Was ist ein Nachweispaket?

Inhalt

Jede Entscheidungskapsel bündelt das exakte SBOM, eingefrorene Schwachstellen-Feeds, Erreichbarkeitsgraphen, Policy-Version, abgeleiteten VEX und Genehmigungsmetadaten.

Signatur

DSSE/in-toto-Signaturen machen Pakete manipulationssicher. Wählen Sie FIPS-ausgerichtete, GOST R 34.10, SM2/SM3 oder eIDAS-kompatible Kryptoprofile (Validierung hängt vom Schlüsselanbieter ab). Cosign?Container-Signierungstool des Sigstore-Projekts zum Signieren und Verifizieren von Container-Images und Artefakten Sigstore?Open-Source-Projekt, das kostenlose Code-Signierung und Transparenzprotokoll-Infrastruktur für die Software-Lieferkette bereitstellt

Export

Exportieren Sie Kapseln bei jedem Freigabe-Schritt. Speichern Sie im Nachweisspeicher mit WORM-Semantik für Compliance-Aufbewahrungsfristen.

Wiedergabe

Verwenden Sie stella replay, um eine historische Entscheidung mit identischen Eingaben erneut auszufuehren und dasselbe Ergebnis zu verifizieren.

Beispielkapselstruktur

Jede Entscheidungskapsel ist ein eigenständiges Verzeichnis mit signierten Artefakten:

decision-capsule-20260126-prod-a1b2/
|- manifest.json         # Kapsel-Metadaten + Signaturen
|- sbom.cdx.json         # CycloneDX 1.7 SBOM
|- sbom.cdx.json.sig     # DSSE-Signatur
|- reachability/
|  |- analysis.json      # Erreichbarkeits-Verdikte
|  |- call-graph.json    # Nachweis statischer Analyse
|  `- analysis.json.sig  # DSSE-Signatur
|- policy/
|  |- rules.rego         # Policy-Snapshot
|  `- verdict.json       # Gate-Entscheidung + Begründung
|- approvals/
|  `- jsmith.sig         # Signatur für menschliche Freigabe
`- feeds/
   `- snapshot.json      # Eingefrorener CVE/Advisory-Stand

Manifest structure (advanced)

Das Kapsel-Manifest pinnt jeden Input und Output per Digest, damit die Entscheidung später reproduziert werden kann. apiVersion: capsule.stellaops.dev/v1 metadata: id: "cap-2025-12-11-abc123" timestamp: "2025-12-11T14:30:00Z" scan_id: "scan-xyz789" inputs: sbom: format: "cyclonedx@1.6" digest: "sha256:..." feeds: - name: "nvd" snapshot: "2025-12-11" digest: "sha256:..." policy: version: "corp-policy@2025-12-01" digest: "sha256:..." outputs: vex: format: "openvex" digest: "sha256:..." signatures: - scheme: "DSSE" profile: "FIPS-aligned" signer: "build-ca@corp"

Das Kapsel-Manifest pinnt jeden Input und Output per Digest, damit die Entscheidung später reproduziert werden kann.

apiVersion: capsule.stellaops.dev/v1
metadata:
  id: "cap-2025-12-11-abc123"
  timestamp: "2025-12-11T14:30:00Z"
  scan_id: "scan-xyz789"
inputs:
  sbom:
    format: "cyclonedx@1.6"
    digest: "sha256:..."
  feeds:
    - name: "nvd"
      snapshot: "2025-12-11"
      digest: "sha256:..."
  policy:
    version: "corp-policy@2025-12-01"
    digest: "sha256:..."
outputs:
  vex:
    format: "openvex"
    digest: "sha256:..."
signatures:
  - scheme: "DSSE"
    profile: "FIPS-aligned"
    signer: "build-ca@corp"

Verification commands (step-by-step)

Auditoren können Signaturen verifizieren, die Integrität prüfen und Entscheidungen unabhängig nachspielen — ohne Stella-Infrastruktur. 1 $ cosign verify-blob --key example-capsule.pub --signature example-capsule.sig example-capsule.tar.gz Signatur der Beispielkapsel mit cosign verifizieren (Demo-Schlüssel) 2 $ tar -xzf example-capsule.tar.gz && stella capsule verify ./decision-capsule-2026-01-20/ Kapsel entpacken und Manifest-Digests prüfen 3 $ stella replay ./decision-capsule-2026-01-20/ --offline Entscheidung mit eingefrorenen Eingaben nachspielen Alle drei Befehle funktionieren offline. Die Beweise reisen mit der Kapsel.

Auditoren können Signaturen verifizieren, die Integrität prüfen und Entscheidungen unabhängig nachspielen — ohne Stella-Infrastruktur.

1

$ cosign verify-blob --key example-capsule.pub --signature example-capsule.sig example-capsule.tar.gz
Signatur der Beispielkapsel mit cosign verifizieren (Demo-Schlüssel)
2

$ tar -xzf example-capsule.tar.gz && stella capsule verify ./decision-capsule-2026-01-20/
Kapsel entpacken und Manifest-Digests prüfen
3

$ stella replay ./decision-capsule-2026-01-20/ --offline
Entscheidung mit eingefrorenen Eingaben nachspielen

Alle drei Befehle funktionieren offline. Die Beweise reisen mit der Kapsel.

Ausprobieren: Beispiel-Entscheidungskapsel

Laden Sie eine bereinigte Beispielkapsel herunter, um die Struktur zu erkunden und Verifizierungsbefehle lokal auszuführen.

Enthält: SBOM, Erreichbarkeitsnachweis, Policy-Snapshot, Beispielgenehmigungen. Signatur und öffentlicher Schlüssel für lokale Verifikation enthalten.

Beispielkapsel herunterladen Signatur herunterladen Öffentlichen Schlüssel herunterladen

Nachweiskette

Wie Nachweise durch Stella fließen

Inhalt einer Entscheidungskapsel

Artefakt-Digest

SHA-256 Content-Adresse

Signiert

SBOM-Snapshot

CycloneDX 1.7 / SPDX 3.0

Signiert

Erreichbarkeitsnachweis

Graph + Kanten-Attestierungen

Signiert

VEX-Status

Gitter-aufgelöstes Urteil

Signiert

Policy-Version

Content-adressiertes Rego/DSL

Signiert

Genehmigungen

Signierte Genehmigungsdatensätze

Signiert

Compliance-Workflow

Prüfer können Entscheidungen Monate später reproduzieren

1
Prüfer fragt
"Zeigen Sie mir den Nachweis, dass diese CVE im Januar-Release korrekt behandelt wurde."
2
Operator exportiert
stella capsule export jan-release-capsule.yaml --format audit-bundle
3
Paket verifiziert
Prüfer führt stella capsule verify jan-release-capsule.yaml aus — Signaturen prüfen, Digests stimmen überein.
4
Wiedergabe bestätigt
stella replay jan-release-capsule.yaml erzeugt identisches Urteil mit eingefrorenen Eingaben.

Deterministische Wiedergabe

Führen Sie die gleiche Entscheidung sechs Monate später aus – dieselben eingefrorenen Eingaben führen zu einem identischen Urteil. Kein Netzwerk erforderlich, keine Zustandsabweichung, keine Mehrdeutigkeit.

Kapsel-Signaturen mit festgelegten Schlüsseln verifizieren.
SBOM?Software Bill of Materials – eine vollständige Liste aller Pakete und Abhängigkeiten in Ihrer Software- und Feed-Snapshot-Digests mit dem Manifest abgleichen.
Replay mit demselben Policy-Bundle und Erreichbarkeits-Inputs.
Audit-Bundle mit Verdict, VEX?Vulnerability Exploitability eXchange – maschinenlesbare Aussagen darüber, ob Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind und Nachweisen exportieren.

Terminal

$ stella replay capsule.json --verify
Entscheidung vom 2025-07-15T14:32:00Z wird replayt...
Policy-Version: sha256:e5f6g7h8... (passt)
Feed-Snapshot:  sha256:i9j0k1l2... (passt)
Verdikt: ALLOW (identisch zum Original)
Determinismus-Check: PASS

Formate und Interoperabilität

SBOM

CycloneDX 1.7 und SPDX 3.0.1. Import aus Trivy, Grype, Syft oder nativ generieren.

VEX

OpenVEX und CSAF 2.0. Multi-Issuer-Gitterlösung mit Konflikterkennung.

SARIF

Static Analysis Results Interchange Format-Export für IDE- und CI-Integration.

Luftspaltverifizierung

Auditoren überprüfen Signaturen, prüfen die Digest-Integrität und spielen Entscheidungen ohne Netzwerkzugriff ab. Das gesamte kryptografische Material wird mit der Kapsel transportiert.

Terminal

$ stella capsule verify decision-capsule.yaml --offline
Signaturprüfung: PASS (ECDSA-P256)
Digest-Match:           PASS (sha256:abc123...)
Policy-Version:         VALID (v3.2.1)
Evidenz-Integrität:     ALLE KOMPONENTEN SIGNIERT
Verdikt:                ALLOW — kein Netzwerk erforderlich

Status unabhängiger Vertrauensartefakte

Käufer, die den Produktionsstart evaluieren, verlangen in der Regel zusätzlich zu Erstanbieter-Proofs auch eine Validierung durch Dritte. Dieser Abschnitt zeigt, was bereits öffentlich ist und was noch in Bearbeitung ist.

Jetzt öffentlich

Verifizierungsschlüssel, signierte Kapselbeispiele, deterministische Wiedergabebefehle und exportierbare Beweisstrukturen sind öffentlich verfügbar.

Im Gange

Bewertungszusammenfassungen Dritter und benannte Pilotfallstudien werden noch nicht als öffentliche Artefakte veröffentlicht.

Für Due Diligence

Sicherheitspakete, Architekturnachweise und Diskussionen zu Pilotreferenzen können während der Evaluierung für Teams mit Beschaffungstoren festgelegt werden.

Beginnen Sie mit Verifizierungsschlüssel, Sicherheitspaket, Und Kontakt um Materialien zur Unternehmensbewertung anzufordern.

Bereit, Releases auditierbar zu machen?

Zugang anfragen So funktioniert es

Entscheidungskapsel-Spezifikation lesen · Alle Funktionen ansehen