Betrieb & Bereitstellung
Überall bereitstellen. Alles beweisen.
Erstklassige Unterstützung für Docker, Compose, ECS, Nomad und SSH/WinRM. Alle Deployments sind agentenlos per Design (das Docker-Image ist das Runtime). 100% Offline-Betrieb mit souveränen Krypto-Profilen.
Was das für Ihr Unternehmen bedeutet
Deployen Sie auf jeden Linux- oder Windows-Server ohne Kubernetes, Agents oder Cloud-Abhängigkeiten. Stella übernimmt Rollbacks, Canary-Promotion und Nachweisexport für jedes Ziel.
Was Sie hier betreiben
Bildscannen
SBOM Generierung, CVE Matching, VEX Anweisungsverwaltung für jedes Container-Image.
Erreichbarkeitsfilterung
Statische, Manifest- und Laufzeitanalyse, um ausnutzbares von theoretischem Risiko zu trennen.
Release-Promotion
Verschieben Sie Bilder zwischen Umgebungen durch Policy Gates mit vollständiger Rückverfolgbarkeit.
Progressive Lieferung
A/B-Tests, Canary, blue/green-Deployments und sofortiger Rollback über alle Targets.
Beweise exportieren
Entscheidungskapseln bündeln alle Eingaben, Richtlinien und Urteile für Prüfung und Compliance.
Offline-Betrieb
Air-gapped-Standorte erhalten signierte Update-Kits und behalten die Release-Kontrolle ohne Internetzugang.
Fokus auf Non-Kubernetes
Die meisten CD-Tools behandeln Non-Kubernetes als Nachgedanken. Stella behandelt es als primären Anwendungsfall — und alle Ziele sind agentenlos per Design.
Docker Host
Direkte Container-Bereitstellung auf Docker-Hosts.
Docker Compose
Multi-Container-Anwendungsbereitstellung.
AWS ECS
ECS- und Fargate-Task-Bereitstellungen.
HashiCorp Nomad
Nomad-Job-Bereitstellungen und Updates.
SSH Ziele
Linux/Unix-Ziele via SSH.
WinRM Ziele
Windows-Ziele via WinRM.
Unbegrenzte Deployment-Ziele bei allen Preisstufen
Digest-first-Release-Identitaet
Jede Veröffentlichung wird durch ihren Inhaltsauszug identifiziert, nicht durch ein veränderbares Tag. Dies garantiert, dass das, was gescannt wurde, auch bereitgestellt wird, und dass geprüft wird, was tatsächlich ausgeführt wurde.
Unveränderliche Identität
sha256-Digests stellen sicher, dass das geförderte Artefakt byte-identisch mit dem gescannten und genehmigten Artefakt ist.
Herkunftskette
Bei jeder Aktion werden der Quellauszug, die Richtlinienversion und der Genehmigungsnachweis in einer signierten Bescheinigung aufgezeichnet.
Bereitstellungsmuster
A/B-Tests
Leiten Sie einen Prozentsatz des Datenverkehrs zur neuen Version weiter. Vergleichen Sie die Kennzahlen, bevor Sie sich verpflichten.
Canary Release
Zuerst für eine kleine Untergruppe von Zielen bereitstellen. Automatisches Rollback bei Fehler bei der Integritätsprüfung.
Blue/Green
Führen Sie alte und neue Versionen parallel aus. Wechseln Sie den Datenverkehr atomar, wenn Sie bereit sind.
Sofort Rollback
Zur vorherigen Digest-verifizierten Version zurückkehren. Beweisspur sowohl vorwärts als auch rückwärts erhalten.
100% Offline-Betrieb
Kernentscheidungen funktionieren ohne externe Abhängigkeiten. Schwachstellen-Feeds und Nachweisverifizierung funktionieren vollständig innerhalb Ihrer Grenze.
Offline-Update-Kit
Signiertes Bündel mit allem, was für Air-Gap-Betrieb benötigt wird.
- → Schwachstellen-Feeds von 33+ Quellen
- → Container-Images für alle Komponenten
- → Herkunftsdaten und SBOMs
- → Delta-Updates für effizienten Transfer
Kein externer Egress erforderlich
Jede Operation funktioniert innerhalb souveräner Netzwerke.
- → Lokale Schwachstellendatenbank
- → Offline-Signaturverifizierung
- → Deterministisches Replay ohne Netzwerk
- → Keine obligatorische Telemetrie (nur Opt-in)
$ stella offline-kit import stella-ouk-2026-01-20.tar.gz --verify
Bundle-Signatur prüfen... OK
Schwachstellen-Feeds importieren... 33 Quellen aktualisiert
Container-Images importieren... 12 Images geladen
Provenance-Daten importieren... OK
Offline-Kit erfolgreich importiert
Wissens-Snapshot: 2026-01-20T00:00:00Z
Nächste Aktualisierung empfohlen: 2026-01-27Souveräne Krypto-Profile
Modulare kryptografische Profile für regionale Compliance. Wählen Sie Ihre Algorithmen, ohne Ihren Workflow zu ändern.
FIPSFederal Information Processing Standards – kryptographische Standards der US-Regierung für sichere Systeme · GOSTRussische nationale kryptographische Standards (GOST R 34.10/34.11), vorgeschrieben für Regierungssysteme · SM2Chinesischer nationaler Standard für Public-Key-Kryptographie (Teil der ShangMi-Suite), vorgeschrieben für regulierte Branchen · eIDASElectronic IDentification, Authentication and trust Services – EU-Verordnung für elektronische Signaturen und Vertrauensdienste · PQCPost-Quantum-Kryptographie – kryptographische Algorithmen, die gegen Quantencomputer-Angriffe sicher sind
| Profil | Algorithmen | Anwendungsfall |
|---|---|---|
| Standard | Ed25519, ECDSA P-256, SHA-256 | Standard-Bereitstellungen |
FIPSFederal Information Processing Standards – kryptographische Standards der US-Regierung für sichere Systeme 140-2/3 (ausgerichtet) | ECDSA P-384, SHA-384 | US-Bundesbehörden / FedRAMP |
GOSTRussische nationale kryptographische Standards (GOST R 34.10/34.11), vorgeschrieben für Regierungssysteme R 34.10 | GOSTRussische nationale kryptographische Standards (GOST R 34.10/34.11), vorgeschrieben für Regierungssysteme R 34.10-2012, Streebog | GUS-Region Compliance |
SM2Chinesischer nationaler Standard für Public-Key-Kryptographie (Teil der ShangMi-Suite), vorgeschrieben für regulierte Branchen/SM3 | SM2Chinesischer nationaler Standard für Public-Key-Kryptographie (Teil der ShangMi-Suite), vorgeschrieben für regulierte Branchen, SM3 | Chinesische nationale Standards |
eIDASElectronic IDentification, Authentication and trust Services – EU-Verordnung für elektronische Signaturen und Vertrauensdienste | RSA-PSS, ECDSA (QES) | eIDASElectronic IDentification, Authentication and trust Services – EU-Verordnung für elektronische Signaturen und Vertrauensdienste-kompatible Signaturen |
| Dilithium | ML-DSA (Dilithium) | Post-Quanten-Zukunftssicherheit |
HSM/PKCS#11-Integration
Hardware-Sicherheitsmodule für Schlüsselspeicherung und Signaturoperationen.
Multi-Profil-Signierung
Signieren Sie dasselbe Artefakt mit mehreren Algorithmen für länderübergreifende Compliance.
Infrastruktur-Integration
HashiCorp Vault
Secrets-Injektion für Bereitstellungen.
HashiCorp Consul
Service-Registry-Integration.
Container-Registries
Docker Hub, Harbor, ECR, GCR, ACR.
SCM-Webhooks
GitHub, GitLab, Bitbucket-Trigger.
Benachrichtigungen
Slack, Teams, E-Mail, PagerDuty, OpsGenie.
Plugin-System
Benutzerdefinierte Konnektoren und Workflow-Schritte.
Plattformanforderungen
Unterstützte Betriebssysteme
- → Ubuntu 20.04, 22.04, 24.04 LTS
- → RHEL/CentOS 8, 9
- → Debian 11, 12
- → Amazon Linux 2, 2023
- → Windows Server 2019, 2022
- → Alpine 3.18+ (containers)
Container-Registries
- → Docker Hub
- → AWS ECR (incl. ECR Public)
- → Google Artifact Registry / GCR
- → Azure Container Registry
- → GitHub Container Registry
- → Harbor, Nexus, JFrog Artifactory
- → Jede
OCIOpen Container Initiative — der Industriestandard für Container-Image-Formate und Registries-konforme Registry
Skalierungsempfehlungen
- → Bis zu 100 Umgebungen pro Instanz
- → Bis zu 1.000 Targets pro Umgebung
- → 50 parallele Deployments
- → 10.000+ Scans/Monat unterstützt
- → Horizontale Skalierung per HA-Modus
- → Föderiertes Multi-Region verfügbar
Für größere Deployments Sales kontaktieren
Mindestanforderungen
4 vCPU, 8 GB RAM, 50 GB Storage. Docker 20.10+ oder Podman 4.0+.
Empfohlen für Produktion
8 vCPU, 16 GB RAM, 200 GB SSD. PostgreSQL 14+ für HA-Deployments.
Deployment-Architektur
Single-Node-Bereitstellung
Docker Compose für Evaluierung und kleine Teams.
- 2 vCPU, 2 GiB RAM Minimum
- PostgreSQL 16+, Valkey 8.0+
- 10 GiB SSD für Cache und Nachweise
Hochverfügbarkeits-Bereitstellung
Horizontale Skalierung für Produktions-Workloads.
- Multi-Replikat API und Worker
- Kubernetes Helm-Charts verfügbar
- Dedizierte Kapazität für Enterprise
Due-Diligence-Prüfung der Produktionsabläufe
Verwenden Sie diese Checkliste, um den betrieblichen Aufwand vor der Produktionseinführung festzulegen. Die Stella Ops Suite befindet sich derzeit in der geschlossenen Alpha-Phase, daher führen die meisten Teams zunächst die Pilotphase durch und gehen dann auf Hochverfügbarkeit über.
| Topologie | Kontrollebene | Datenebene | Typische Verwendung |
|---|---|---|---|
| Pilot | Einzelknotendienste mit einem Worker-Pool | Einzelnes Postgres, einzelner Objektspeicher, einzelne Warteschlange/Cache | Evaluierung und Richtlinienanpassung |
| Produktionsbasislinie | Redundante API-/Steuerungsebenenknoten hinter LB | Verwaltete Postgres mit Backups, dauerhaftem Objektspeicher, replizierter Warteschlange/Cache | Steady-State-Release-Governance |
| HA und reguliert | Steuerungsebene mit mehreren Knoten über Fehlerdomänen hinweg | HA-Datenbank, unveränderliche Beweisspeicherung, getestete Wiederherstellungsübungen | Kritische Umgebungen und revisionsintensive Arbeitslasten |
Sichern und Wiederherstellen
Definieren Sie RPO/RTO für Postgres und die Speicherung von Beweisobjekten. Validieren Sie die Wiederherstellung mit der Wiedergabe signierter Kapseln, nicht nur mit Service-Zustandsprüfungen.
Upgrade und Rollback
Fördern Sie Plattformaktualisierungen durch Digest zwischen Nicht-Produktion und Produktion. Behalten Sie die letzten als funktionierend bekannten Digests und Runbooks für ein schnelles Rollback.
Ops-Beweise
Verfolgen Sie Änderungsfenster, Genehmiger und exportierte Beweispakete pro Upgrade, damit Beschaffungs- und Prüfteams die Betriebsdisziplin überprüfen können.
Bereit für souveräne Bereitstellung?
Beginnen Sie mit dem Installationshandbuch oder dem Offline-Kit.
Souverän & Air-Gap · Release-Orchestrierung · Alle Funktionen