Air-Gap Bereit

Stella Ops auf Air-Gap-Netzwerken ausführen

Ein signiertes Bundle liefert Feeds, Images und Herkunftsnachweise, sodass dieselbe Stella Ops-Erfahrung hinter dem strengsten Perimeter funktioniert.

Zugang anfragen Lesen der Leitfaden

Was das Kit ermöglicht

Das Offline-Update-Kit stellt sicher, dass Ihre Stella-Installation mit Luftspalt über die gleichen Scan-, Entscheidungs- und Nachweisfunktionen verfügt wie eine verbundene Bereitstellung.

→ Vollständige Schwachstellenprüfung mit aktuellen Empfehlungen aus über 33 Quellen
→ Erreichbarkeitsanalyse und VEX?Vulnerability Exploitability eXchange – maschinenlesbare Aussagen darüber, ob Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind-bewusstes Risiko Filtern ohne Internetzugang
→ Richtliniengesteuerte Hochstufungen mit signierten Entscheidungskapseln für jede Veröffentlichung
→ Deterministische Wiedergabe und Audit-Verifizierung – kein Netzwerk erforderlich

1 · Was enthalten ist

Kuratierte Advisories

Globale Feeds plus regionale Quellen (CNNVD, JVN, ENISA, BDU), als einzelne signierte Snapshots erhalten, sodass Policies jeder einzeln vertrauen oder sie ignorieren können.

Vorgeladene Laufzeitumgebung

Scanner, Zastava und unterstützende Images für x86-64 und arm64, bereit zur Spiegelung in Ihre Registry.

Herkunft und SBOM

Cosign-Signaturen, DSSE-Attestierungen und SPDX-SBOMs, die beweisen, was Sie importiert haben.

Delta-Updates

Kompakte tägliche Patches halten das Kit aktuell, ohne Gigabytes über den Perimeter zu schleppen.

Detailed kit contents

Vulnerability Feeds

→ NVD?National Vulnerability Database – das US-Regierungsverzeichnis standardbasierter Schwachstellendaten (NIST)
→ OSV?Open Source Vulnerabilities – eine verteilte Schwachstellendatenbank für Open-Source-Projekte (Google)
→ CISA?Cybersecurity and Infrastructure Security Agency – US-Bundesbehörde für Cybersicherheitsrichtlinien und Schwachstellenkataloge KEV?Known Exploited Vulnerabilities – CISAs Katalog aktiv ausgenutzter Schwachstellen
→ GitHub Advisories
→ CNNVD (China)
→ JVN?Japan Vulnerability Notes – Japans Schwachstellendatenbank, verwaltet von JPCERT/CC und IPA (Japan)
→ ENISA (EU)
→ BDU (Russia)
→ 33+ regional sources

Container Images

→ stella-scanner (x86-64, arm64)
→ zastava runtime
→ console-ui
→ authority service
→ supporting services

Signatures & Provenance

→ Cosign?Container-Signierungstool des Sigstore-Projekts zum Signieren und Verifizieren von Container-Images und Artefakten signatures for all artifacts
→ DSSE?Dead Simple Signing Envelope – ein einfacher, flexibler Standard zum Signieren beliebiger Daten mit kryptographischen Signaturen attestations
→ SPDX?Software Package Data Exchange – ein weiteres offenes Standardformat für SBOMs, weit verbreitet in Open Source SBOMs for every image
→ Manifest checksums (SHA-256)
→ Timestamp proofs

Runbooks & Automation

→ Import automation scripts
→ Multi-site sync playbooks
→ Verification checklists
→ Rollback procedures
→ Compliance templates

Drei Schritte zum Update

1
Herunterladen und überprüfen
Rufen Sie das neueste Kit und die neueste Signatur auf einem verbundenen Spiegel ab. Überprüfen Sie vor der Übertragung Ihren öffentlichen Cosign-Schlüssel.
2
Übertragung an einen Air-Gap-Standort
Verwenden Sie Ihren genehmigten Kanal: USB, Kurier oder kontrollierte Rsync-Dropbox. Nicht signierte Bundles überschreiten nie die Grenze.
3
Import
Führen Sie den Stella-Offline-Kit-Import aus oder verwenden Sie die Konsolen-Benutzeroberfläche. Feeds wechseln in weniger als drei Sekunden ohne Ausfallzeit.

Terminal

$ stella offline-kit import stella-ouk-2026-01-20.tar.gz --verify
Bundle-Signatur prüfen... OK
Schwachstellen-Feeds importieren... 33 Quellen aktualisiert
Container-Images importieren... 12 Images geladen
Provenance-Daten importieren... OK

Offline-Kit erfolgreich importiert
Wissens-Snapshot: 2026-01-20T00:00:00Z
Nächste Aktualisierung empfohlen: 2026-01-27

Automatisierungsskripte, Manifest-Audits und Fehlerbehebung finden Sie in der <a href="/docs/24_offline_kit/" class="link">Offline-Kit-Anleitung</a>.

Behalten Sie mehrere Standorte bei sync

1
Planen Sie Downloads
Konfigurieren Sie Cron auf einem verbundenen Spiegel, um das neueste Kit in Ihrer bevorzugten Kadenz abzurufen.
2
Über genehmigten Kanal verteilen
Übertragung an jede Site per USB, Kurier oder kontrollierter Dropbox entsprechend Ihrer Sicherheit Richtlinie.
3
Import pro Änderungsfenster
Jeder Die Air-Gap-Site importiert unabhängig nach ihrem eigenen Wartungsplan.

Vor dem Import

Protokollieren Sie die Bundle-ID und den Manifest-Hash für Ihren Compliance-Trail
Stellen Sie sicher, dass die Cosign?Container-Signierungstool des Sigstore-Projekts zum Signieren und Verifizieren von Container-Images und Artefakten-Signatur mit Ihrem vertrauenswürdigen öffentlichen Schlüssel übereinstimmt
Rotieren Sie den kostenlosen Kontingent-Token nach Ihrem Zeitplan; Validierung bleibt offline
Store eine saubere Kopie in einem manipulationssicheren Tresor zur schnellen Neuausgabe

Halten Sie Ihre Air-Gap-Bereitstellung auf dem neuesten Stand

Zugang anfragen Offline-Kit-Anleitung lesen

Souveräne Bereitstellung · Betriebsübersicht