Verbinden. Bündeln. Kontrollieren. Bereitstellen.

Stella Ops verbindet Ihre Toolchain, produziert Beweise, kontrolliert Freigaben und exportiert den Entscheidungsnachweis für jede Version.

Zugang anfragen Dokumentation ansehen

Nachweisanker

Pruefen Sie Aussagen mit Decision Capsules, Replay-Beispielen und End-to-End-Nachweisen.

Verwandte Evidenz: Evidenz und Audit | Decision-Capsule-Spezifikation | Betrieb und Deployment

Nach der Ersteinrichtung verfügen Sie über:

  • 1. Ihr erstes mit SBOMSoftware Bill of Materials – eine vollständige Liste aller Pakete und Abhängigkeiten in Ihrer Software gescanntes Bild + Erreichbarkeitsanalyse
  • 2. Eine signierte Entscheidungskapsel zum Nachweis der Scanergebnisse
  • 3. Eine vollständige Hochstufung vom Entwickler zum Staging mit Beweisen

Wo Stella Ops hineinpasst

Stella sitzt zwischen Ihrer CI und Ihren Servern. CI baut Images. Stella entscheidet, ob sie promoted werden dürfen, deployt sie auf Nicht-Kubernetes-Ziele (Compose, SSH/WinRM, ECS, Nomad) und exportiert Nachweise für Audits.

Architekturüberblick

Die Stella Ops Control Plane sitzt zwischen Ihren Eingaben (CI/CD, Registries, Feeds) und Ihren Ausgaben (Deployment-Ziele, Audit-Systeme). Evidenz fließt durch und wird bei jedem Schritt versiegelt.

Stella Ops Architecture Diagram
Stella Ops Suite Architektur — selbstgehostet mit Modulen für jede Schicht, erweiterbar durch Plugins

Release-Lebenszyklus auf einen Blick

Verbinden, bündeln, gaten, deployen und eine Entscheidungskapsel exportieren — Evidenz an den Artefakt-Digest gebunden.

Diagramm zum Release-LebenszyklusVerbindenBündelnGateDeployEntscheidungskapselEvidenz wird in jedem Schritt versiegelt
1

Registry, SCM, CI und Infrastruktur verbinden

Verknüpfen Sie Ihre Container-Registries, CI-Pipelines und Infrastrukturkomponenten, um ein Digest-basiertes Release-Buch aufzubauen. Stella überwacht neue Images und koordiniert mit Ihrer bestehenden Infrastruktur.

Quelle & Registry

  • → Docker Hub, Harbor, ECR, GCR, ACR
  • → GitHub, GitLab, Bitbucket Webhooks
  • → Jenkins, GitHub Actions, GitLab CI

Infrastruktur

  • HashiCorp Vault für Secrets
  • HashiCorp Consul für Service-Registry
  • SSH/WinRM für Remote-Ziele (agentenlos per Design)
2

Release-Bundle erstellen

Erfassen Sie Artefakt-Digests, SBOMs und Provenienz als eine einzige Freigabe-Einheit. Das Bundle durchläuft Umgebungen und sammelt bei jedem Schritt Beweise.

  • CycloneDXEin offenes Standardformat für Software Bill of Materials (SBOM), das branchenweit eingesetzt wird / SPDXSoftware Package Data Exchange – ein weiteres offenes Standardformat für SBOMs, weit verbreitet in Open Source SBOMSoftware Bill of Materials – eine vollständige Liste aller Pakete und Abhängigkeiten in Ihrer Software-Generierung
  • SLSASupply-chain Levels for Software Artifacts — ein Framework zur Sicherstellung der Integrität von Software-Artefakten in der gesamten Lieferkette-Provenienz-Attestierung
  • → Inhaltsadressierte Artefaktidentität (SHA-256)
3

Mit hybrider Erreichbarkeit + Policy kontrollieren

Bewerten Sie die Policy bei jeder Freigabe gegen die Beweise. Hybride Erreichbarkeitsanalyse verwendet drei Schichten, um festzustellen, welche Schwachstellen Ihr Code tatsächlich aufruft:

1. Statische Analyse

Aufrufgraph-Extraktion aus Bytecode/Quellcode

2. Manifest-Analyse

Import/require-Anweisungen, Abhängigkeitsbäume

3. Runtime-Traces

Optionale Profiling-Daten für höheres Vertrauen

Terminal
$ stella gate evaluate --env stage --artifact sha256:abc123...
 487 CVEs in Abhängigkeiten gefunden
 475 NICHT ERREICHBAR (hybride Analyse)
! 12 ERREICHBAR (gegen Policy bewertet)
Policy-Verdikt: PASS — 12 erreichbare CVEs unter dem Schwellenwert
Gate-Bewertung gespeichert: evidence/gate-stage-2025-07-15.json

Ergebnis: deutlich weniger False Positives im Vergleich zum traditionellen CVE-Zählen.

4

Bereitstellen + Entscheidungskapsel exportieren

Führen Sie die Bereitstellung zu Ihren Zielen durch und exportieren Sie ein signiertes Beweispaket. Konfigurieren Sie Umgebungen über SSH/WinRM oder verwenden Sie die integrierten Provider — alle Deployments sind agentenlos per Design.

Bereitstellungsziele

  • → Docker Compose Bereitstellungen
  • → AWS ECS / Fargate
  • → HashiCorp Nomad
  • → Skriptgesteuerte Bereitstellungen (.NET 10)

Umgebungseinrichtung

  • SSH für Linux/Unix-Ziele
  • WinRM für Windows-Ziele
  • Vault für Secret-Injection
  • Consul für Service-Discovery

Entscheidungskapseln sind DSSE-signiert und enthalten alles für Audit-Export und deterministisches Replay.

Der Erreichbarkeits-Unterschied

Ohne Erreichbarkeit

  • 487 CVEs zum Sichten
  • Tage der Untersuchung
  • Kein Audit-Trail
  • Ausnutzbarkeit raten
  • Ad-hoc-Ausnahmen

Mit Stella Ops

  • 12 erreichbare CVEs zum Beheben
  • Stunden bis zur Lösung
  • Entscheidungskapsel-Export
  • Nachweis der Aufrufpfade
  • Policy-gesteuerte Gates

Was Auditoren erhalten

Jede Entscheidungskapsel enthält:

  • Exakter Artefakt-Digest (SHA-256)
  • SBOMSoftware Bill of Materials – eine vollständige Liste aller Pakete und Abhängigkeiten in Ihrer Software-Snapshot (CycloneDXEin offenes Standardformat für Software Bill of Materials (SBOM), das branchenweit eingesetzt wird/SPDXSoftware Package Data Exchange – ein weiteres offenes Standardformat für SBOMs, weit verbreitet in Open Source)
  • Erreichbarkeitsbeweise (signierte Graphen)
  • Policy-Version + Urteil
  • VEXVulnerability Exploitability eXchange – maschinenlesbare Aussagen darüber, ob Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind-Status (Lattice-aufgelöst)
  • Signierte Genehmigungsaufzeichnungen

Auditoren können Signaturen unabhängig verifizieren und die Entscheidung offline mit stella replay nachspielen.

Bereit, es in Aktion zu sehen?

Zugang anfragen Dokumentation ansehen

Alle Funktionen ansehen | Evidenz & Audit | Dokumentation