Erreichbarkeit als Beweis
Dreischichtige Analyse – statische Aufrufdiagramme, Binärsymbolabgleich, Laufzeit-eBPF-Probes – erzeugt signierte DSSE Beweise, die Fehlalarme deutlich reduzieren.
Was das für Ihr Unternehmen bedeutet
Beheben Sie nur Schwachstellen, die Ihre App tatsächlich erreichen kann — überspringen Sie den Rest. Stella beweist, welche CVEs erreichbar sind, damit sich Ihr Team auf echte Risiken konzentriert, nicht auf Scanner-Rauschen. ReachabilityAnalyse, die beweist, ob verwundbarer Code tatsächlich von Ihrer Anwendung aufgerufen wird — und so Fehlalarme aus dem Scanner-Rauschen herausfiltert
Bis zu 70–90 %
Typische Rauschreduktion
Der beobachtete Bereich variiert je nach Stack und Abdeckung.
3
Analyseebenen
Statische Aufrufdiagramme, binäre Symbole, Runtime‑eBPF‑Sonden
100%
Signiert & wiederholbar
Jedes Erreichbarkeitsurteil ist DSSE-signierter Beweis
Jede Ebene liefert zunehmend stärkere Beweise dafür, dass eine anfällige Funktion von Ihrer Anwendung aus erreichbar ist (oder nicht). Code. CVECommon Vulnerabilities and Exposures – eine eindeutige Kennung für eine öffentlich bekannte Sicherheitslücke
Aufrufdiagramme aus Bytecode, AST und Quellcode extrahieren. Verfolgen Sie Pfade von Einstiegspunkten zu anfälligen Symbolen.
Anfällige Symbole mit kompilierten Binärexporten abgleichen. Bestätigt, dass der Code tatsächlich verknüpft ist.
Optionale Produktionsprofilierung. Erfasst tatsächliche Funktionsaufrufe während der Ausführung.
eBPFExtended Berkeley Packet Filter — eine Linux-Kernel-Technologie, die sandboxed Programme für hochperformante Beobachtbarkeit und Laufzeitanalyse ohne Kernelmodule ausführt-InstrumentierungErgebnis: deutlich weniger Fehlalarme. Konzentrieren Sie sich auf 12 erreichbare CVEs anstelle von 487 theoretischen.
Erreichbarkeitsnachweise werden zur Deduplizierung und Überprüfung inhaltsadressiert. Knoten-Hashes ermöglichen eine effiziente Differenzierung zwischen Versionen.
Knoten Hash
SHA256(normalize(purl) + ":" + normalize(symbol))
Pfad-Hash
SHA256(entryNodeHash + ":" + joinedIntermediateHashes + ":" + sinkNodeHash)
Top-K-signifikante Pfade bleiben im Beweisbündel erhalten. Pfade werden nach Ausführungshäufigkeit (von Laufzeit) oder Aufruftiefe (von statisch) geordnet.
Wenn die Analyse die Erreichbarkeit nicht ermitteln kann, wird die Unsicherheit explizit nachverfolgt – nicht versteckt oder stillschweigend als sicher angenommen.
| Erreichbarkeits-Bucket | Standardgewichtung |
|---|---|
| Einstiegspunkt | 1.0 |
| Direkter Aufruf | 0.85 |
| Runtime bestätigt | 0.45 |
| Unbekannt | 0.5 |
| Nicht erreichbar | 0.0 |
Endergebnis = max(bucket_weights) über alle Pfade hinweg. Unbekannte Knoten tragen zur Risikobewertung bei, anstatt ignoriert zu werden.
Bevor Sie Hard Blocking in der Produktion aktivieren, überprüfen Sie die Abdeckung Ihres eigenen Codekorpus. Die folgende Matrix beschreibt, wie die einzelnen Sprach-/Laufzeitpfade ausgewertet werden und wie Unbekannte behandelt werden sollten.
| Sprache/Laufzeit | Statischer Anrufpfad | Binär-/Symbolbeweis | Laufzeitbeweise | Standard-Gate, wenn unbekannt |
|---|---|---|---|---|
| Los, Rust, C/C++ | Validieren Sie die Extraktion direkter und transitiver Anrufpfade | Validieren Sie die Genauigkeit der Symbol-/Build-ID-Übereinstimmung | Optionale eBPF-Bestätigung für Hochrisikodienste | Überprüfen oder blockieren Sie kritische Ergebnisse gemäß den Richtlinien |
| Java- und JVM-Sprachen | Validieren Sie die Erreichbarkeit auf Methodenebene und dynamische Versandfälle | Validieren Sie die Bytecode-/JAR-Symbolzuordnung | Für reflektierende Pfade empfohlene Laufzeitspuren | Unbekannte zur manuellen Überprüfungsspur weiterleiten |
| .NETTO | Validieren Sie das IL-Aufrufdiagramm und die Paketherkunft | Validieren Sie die PDB-/Symbolauflösung in Release-Builds | Laufzeitbestätigung für getrimmte/AOT-Szenarien | Überprüfen Sie Unbekannte, bevor Sie eine Entscheidung zulassen |
| Knoten, Python, Ruby, PHP | Validieren Sie Framework-Einstiegspunkte und dynamische Importgrenzen | Der Symbolnachweis ist für den dynamischen Versand von Natur aus teilweise vorgesehen | Laufzeitspuren werden dringend empfohlen | Als expliziten Status „Unbekannt“ beibehalten und Genehmigung erfordern |
Richtlinienempfehlung: Behandeln Sie unknown als erstklassiges Urteil, legen Sie explizite Schwellenwerte pro Schweregrad fest und überschreiben Sie Gründe für den Protokollprüfer im Beweisbündel.
DSSEDead Simple Signing Envelope – ein einfacher, flexibler Standard zum Signieren beliebiger Daten mit kryptographischen Signaturen-Umschlag mit in-totoEin Framework zur Absicherung der Software-Lieferkette durch Überprüfung, dass jeder Schritt wie geplant und von autorisierten Akteuren durchgeführt wurde SLSASupply-chain Levels for Software Artifacts — ein Framework zur Sicherstellung der Integrität von Software-Artefakten in der gesamten Lieferkette-Prädikatformat Von Prüfern ohne Netzwerkzugriff überprüfbar Deterministische Wiedergabe erzeugt bitidentische Ergebnisse Grafik und Traces für Offline archiviert Verifizierung Inhaltsadressierte Speicherpfade cas://reachability_graphs/<hh>/<sha>.tar.zst cas://runtime_traces/<hh>/<sha>.tar.zstJede Erreichbarkeitsanalyse erzeugt einen kryptografisch signierten Beweis, der im inhaltsadressierten Speicher gespeichert wird. DSSEDead Simple Signing Envelope – ein einfacher, flexibler Standard zum Signieren beliebiger Daten mit kryptographischen Signaturen
DSSEDead Simple Signing Envelope – ein einfacher, flexibler Standard zum Signieren beliebiger Daten mit kryptographischen Signaturen-Umschlag mit in-totoEin Framework zur Absicherung der Software-Lieferkette durch Überprüfung, dass jeder Schritt wie geplant und von autorisierten Akteuren durchgeführt wurde SLSASupply-chain Levels for Software Artifacts — ein Framework zur Sicherstellung der Integrität von Software-Artefakten in der gesamten Lieferkette-PrädikatformatInhaltsadressierte Speicherpfade
cas://reachability_graphs/<hh>/<sha>.tar.zst
cas://runtime_traces/<hh>/<sha>.tar.zst
Optionale Tetragon-basierte Instrumentierung erfasst tatsächliche Funktionsausführungen in der Produktion und liefert den höchstzuverlässigen Nachweis der Erreichbarkeit.
Erfasste Sondendaten
symbol_id: kanonischer Symbol-Identifikator
code_id: Identifikator des Code-Abschnitts
hit_count: Ausführungshäufigkeit
loader_base: Basisadresse im Speicher
cas_uri: inhaltsadressierte Referenz
Probes Senden Sie Beobachtungen stapelweise an /api/v1/observations. Jede Beobachtung enthält den CAS-URI für das zugrunde liegende Artefakt.
Installieren Sie Stella Ops und beginnen Sie mit der Erstellung signierter Erreichbarkeitsnachweise mit dreischichtiger Analyse.