Funktionen
Auditierbare Release Control Plane
Orchestrieren Sie SCM, Registries, Consul, Vault und die Digest-First-Versionierung. Images werden auf Schwachstellen gescannt, per Reachability gefiltert und jede Promotion ist auditierbar.
- → Signierte Erreichbarkeitsbeweise — keine Vermutungen, exakte Aufrufpfade
- → Deterministisches Replay — jede Entscheidung Monate später verifizieren
- → Lattice
VEXVulnerability Exploitability eXchange – maschinenlesbare Aussagen darüber, ob Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind— Konflikte sind Zustand, keine Unterdrückung
Was das für Ihr Unternehmen bedeutet
Reduzieren Sie Triage-Warteschlangen fuer erreichbare CVEs, halten Sie Promotion-Verdikte reproduzierbar und wechseln Sie in Audits von narrativer Rekonstruktion zu Signatur- und Replay-Verifikation.
Nachweisanker
Pruefen Sie Aussagen mit Decision Capsules, Replay-Beispielen und End-to-End-Nachweisen.
Evidenz und Audit | Decision-Capsule-Spezifikation | Funktionsweise
Was Sie in 30 Minuten erhalten
Installieren
Docker-Compose-Setup
Scannen
SBOM + Erreichbarkeit
Hochstufen
Dev → Staging
Exportieren
Entscheidungskapsel
Vier Säulen evidenzbasierter Veröffentlichungen
Erstklassige SBOM und VEX
Generieren Sie SPDX/CycloneDX SBOMs, Aufnahme von OpenVEX von mehreren Emittenten, Lösung von Konflikten mit K4-Gitterlogik – deterministisch und offlinefähig. SBOMSoftware Bill of Materials – eine vollständige Liste aller Pakete und Abhängigkeiten in Ihrer Software VEXVulnerability Exploitability eXchange – maschinenlesbare Aussagen darüber, ob Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind
- →
SPDXSoftware Package Data Exchange – ein weiteres offenes Standardformat für SBOMs, weit verbreitet in Open Source3.0.1- undCycloneDXEin offenes Standardformat für Software Bill of Materials (SBOM), das branchenweit eingesetzt wird1.7-SBOMs aus Container-Images erzeugen - →
OpenVEXEin offenes Standardformat für VEX-Aussagen über die Ausnutzbarkeit von Schwachstellenvon mehreren Herausgebern aufnehmen, Konflikte mit K4-Lattice auflösen - → CVEs aus 30+ Advisory-Quellen mit untersekündlichen Warm-Path-Scans abgleichen
Erreichbarkeit als Beweis
Dreischichtige Analyse – statische Aufrufdiagramme, binäre Symbole, Laufzeit-eBPF-Probes – erzeugt signierte DSSE-Proofe, die falsch positive Ergebnisse deutlich reduzieren. ReachabilityAnalyse, die beweist, ob verwundbarer Code tatsächlich von Ihrer Anwendung aufgerufen wird — und so Fehlalarme aus dem Scanner-Rauschen herausfiltert
- → Dreistufige Analyse: statische Call-Graphs, Binärsymbole, Runtime-
eBPFExtended Berkeley Packet Filter — eine Linux-Kernel-Technologie, die sandboxed Programme für hochperformante Beobachtbarkeit und Laufzeitanalyse ohne Kernelmodule ausführt-Probes - → Signierte
DSSEDead Simple Signing Envelope – ein einfacher, flexibler Standard zum Signieren beliebiger Daten mit kryptographischen Signaturen-Nachweise — keine Behauptungen, überprüfbare Evidenz - → Deutlich weniger False Positives: Fokus auf 12 erreichbare CVEs statt 487 theoretischen
Digest-First-Versionierung
Releases sind unveränderlich OCI Digest-Sets werden bei der Erstellung aufgelöst – Tags sind Aliase, Digests sind Wahrheit, jeder Pull ist manipulationssicher.
- → Releases sind unveränderliche
OCIOpen Container Initiative — der Industriestandard für Container-Image-Formate und Registries-Digest-Sets, beim Erstellen aufgelöst - → Tags sind Aliase, Digests sind die Wahrheit — jeder Pull ist manipulationserkennbar
- → Vollständiger Audit-Trail: exakt wissen, was wo und wann deployt wurde
Agentenlose Bereitstellung
Rollout auf Linux- (SSH) und Windows- (WinRM) Servern mit Canary-, Rolling- oder blue-green-Strategien — rollback kehrt zu bewährten Digests zurück.
- → Deploy auf Docker Compose, Swarm, ECS, Nomad oder geskriptete Hosts
- → Ausführung via SSH (Linux) und WinRM (Windows) — agentenlos per Design.
- → Canary-, Rolling- und Blue/Green-Strategien mit sofortigem Rollback
Was Stella anders macht
Die meisten Tools liefern Findings oder Deployments. Stella liefert Beweise.
Evidenz statt Behauptungen
Jede Entscheidung wird durch signierte, reproduzierbare Evidenz gestützt. Auditoren können unabhängig prüfen — ohne Herstellerbindung.
Non-Kubernetes zuerst
Docker Compose, ECS, Nomad und geskriptete Hosts sind Primärziele — keine nachträglichen Anhängsel an ein K8s-zentriertes Design.
Deterministisches Replay
Jede Entscheidung nach 6 Monaten mit eingefrorenen Inputs erneut ausführen. Gleicher SBOM, gleiche Feeds, gleiche Policy — bitgenau identisches Ergebnis.
Souverän & offline
Vollständig air-gapped mit signierten Feed-Bundles. FIPS-ausgerichtete, GOST, SM2/SM3 und eIDAS-kompatible Kryptoprofile (Validierung hängt vom Schlüsselanbieter ab). Keine verpflichtende Telemetrie; nur Opt-in (standardmäßig aus).
Wie Stella vergleicht
Stella kombiniert Scannen, Richtlinien und Bereitstellung in einer evidenzbasierten Plattform. Sehen Sie, wie es aussieht.
| Tool | Kategorie | Kernunterschied | |
|---|---|---|---|
| Trivy / Grype | Scanner | Nur Findings — keine Erreichbarkeit, keine Orchestrierung | Vergleichen → |
| Snyk | SCASoftware Composition Analysis — automatisierte Prüfung von Drittanbieter- und Open-Source-Komponenten auf bekannte Schwachstellen und Lizenzrisiken-Plattform | Nur SaaS, kein deterministisches Replay | Vergleichen → |
| Octopus Deploy | CD-Plattform | Kein integriertes Security-Scanning oder Evidenzkette | Vergleichen → |
| GitHub Actions | CI/CD | CI-fokussiert, keine Release-Orchestrierungsschicht | Vergleichen → |
| Harness | CD-Plattform | K8s-zentriert, begrenzter Non-Kubernetes-Support | Vergleichen → |
Bereit für beweiskräftige Veröffentlichungen?
Installieren mit Docker Compose und führen Sie Ihre erste verifizierte Aktion durch.