Erstklassige SBOM und VEX

Wissen Sie, was sich in Ihren Containern befindet

Generieren Sie branchenübliche SBOMs und wenden Sie VEX-Anweisungen aus mehreren Quellen an – mit integrierter intelligenter Konfliktlösung und Offline-Verifizierung.

Zugang anfragen Alle Funktionen anzeigen

Was das für Ihr Unternehmen bedeutet

Wissen Sie genau, was in jedem Release enthalten ist und welche Advisories gelten. Stella generiert signierte SBOMs und löst widersprüchliche VEX-Aussagen auf, damit Compliance-Teams ein klares Bild erhalten. VEX?Vulnerability Exploitability eXchange – maschinenlesbare Aussagen darüber, ob Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind

Branchenstandardformate

Stella generiert SBOMs in den Formaten, die Ihre Prüfer und Compliance-Teams erwarten, mit vollständigen Metadaten und Herkunft der Komponenten.

SPDX 3.0.1

Die neueste ISO/IEC 5962-Standard mit vollständigen Lieferantenmetadaten und SPDX-Lizenzausdrücken.

CycloneDX 1.7

OWASP CycloneDX mit integrierter VEX-Unterstützung und Abhängigkeitsdiagrammerweiterungen.

Generieren, überprüfen und veröffentlichen SBOMs aus der CLI

Terminal

$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwrite

Warum es Matters

SBOMs werden obligatorisch. Stella macht sie praktisch.

Reproduzierbare Ergebnisse

Gleiches Bild, gleicher SBOM – jedes Mal. Prüfer können Ihre Ergebnisse unabhängig überprüfen.

Funktioniert offline

Generieren und überprüfen Sie SBOMs in Air-Gap-Umgebungen. Keine externen Anrufe erforderlich.

Compliance-bereit

Unterstützt EO 14028, EU CRA und andere Anforderungen an die Lieferkettensicherheit mit signierten, verifizierbaren SBOMs.

Kryptographisch Signiert

Alle SBOM ist signiert und manipulationssicher. Beweise, denen Sie vertrauen können.

VEX: Kontext für Schwachstellen

Nicht jeder CVE betrifft Sie. Mit VEX (Vulnerability Exploitability eXchange)-Anweisungen können Anbieter und Ihre eigene Analyse sagen, welche Schwachstellen für Ihre spezifische Bereitstellung tatsächlich von Bedeutung sind.

Betroffen

Nicht betroffen

Behoben

Untersuchung

VEX schneidet durch: Ein CVE in einer Bibliothek, die Sie nicht verwenden, ist nicht Ihr Problem. Stella wendet VEX-Anweisungen automatisch an, um Ihre Aufmerksamkeit auf das Wesentliche zu lenken.

Was das für Ihr Unternehmen bedeutet

Wenn Scanner sich widersprechen, sehen Sie alle Beweise statt einer stillen Überschreibung. Stella macht Konflikte sichtbar, damit Ihr Team fundierte Entscheidungen trifft — weniger übersehene Schwachstellen, weniger verschwendete Behebung.

How conflict states are computed (advanced)

Wenn mehrere -Quellen nicht übereinstimmen, verwendet Stella Belnaps vierwertige Logik, um den endgültigen Status zu berechnen. Konflikte werden sichtbar und nicht verborgen. ⊥ Unbekannt Noch keine Informationen. Standardstatus, bevor eine -Anweisung angewendet wird. T Betroffen Mindestens ein Aussteller gibt an, dass diese Sicherheitslücke Sie betrifft. F Nicht betroffen Mindestens ein Aussteller gibt an, dass Sie nicht betroffen sind. ⊤ Konflikt Mehrere Emittenten sind anderer Meinung. Erfordert Überprüfung oder Überschreibung durch eine höhere Autorität. Der Hersteller sagt „nicht betroffen“, aber Ihr Laufzeittest hat die aufgerufene Funktion erkannt? Ergebnis: Konflikt (⊤) – die Meinungsverschiedenheit ist sichtbar und wird nicht stillschweigend unterdrückt. Keine stille Unterdrückung. Keine versteckten Annahmen. Unsicherheit wird verfolgt und aufgedeckt.

Wenn mehrere VEX-Quellen nicht übereinstimmen, verwendet Stella Belnaps vierwertige Logik, um den endgültigen Status zu berechnen. Konflikte werden sichtbar und nicht verborgen.

⊥

Unbekannt

Noch keine Informationen. Standardstatus, bevor eine VEX-Anweisung angewendet wird.

Betroffen

Mindestens ein Aussteller gibt an, dass diese Sicherheitslücke Sie betrifft.

Nicht betroffen

Mindestens ein Aussteller gibt an, dass Sie nicht betroffen sind.

⊤

Konflikt

Mehrere Emittenten sind anderer Meinung. Erfordert Überprüfung oder Überschreibung durch eine höhere Autorität.

Der Hersteller sagt „nicht betroffen“, aber Ihr Laufzeittest hat die aufgerufene Funktion erkannt? Ergebnis: Konflikt (⊤) – die Meinungsverschiedenheit ist sichtbar und wird nicht stillschweigend unterdrückt.

Keine stille Unterdrückung. Keine versteckten Annahmen. Unsicherheit wird verfolgt und aufgedeckt.

Multi-source VEX aggregation (advanced)

Anbieter, Distributoren und Ihr eigenes Sicherheitsteam können alle -Erklärungen veröffentlichen. Stella aggregiert sie mit gewichtetem Konsens. Nehmen Sie von Softwareanbietern, Linux-Distributoren und internen Quellen auf Quellen werden nach Autorität gewichtet – Ihre internen Bewertungen können externe überschreiben Konflikte lösen Überprüfungsworkflows aus, anstatt stillschweigend gelöst zu werden One View of Truth Anstatt mit Tabellenkalkulationen und E-Mails zu jonglieren, erhalten Sie eine einzige, verlässliche Ansicht darüber, welche Schwachstellen tatsächlich Ihr Unternehmen betreffen Veröffentlichung.

Anbieter, Distributoren und Ihr eigenes Sicherheitsteam können alle VEX-Erklärungen veröffentlichen. Stella aggregiert sie mit gewichtetem Konsens.

Nehmen Sie VEX?Vulnerability Exploitability eXchange – maschinenlesbare Aussagen darüber, ob Schwachstellen in Ihrem Kontext tatsächlich ausnutzbar sind von Softwareanbietern, Linux-Distributoren und internen Quellen auf
Quellen werden nach Autorität gewichtet – Ihre internen Bewertungen können externe überschreiben
Konflikte lösen Überprüfungsworkflows aus, anstatt stillschweigend gelöst zu werden

One View of Truth

Anstatt mit Tabellenkalkulationen und E-Mails zu jonglieren, erhalten Sie eine einzige, verlässliche Ansicht darüber, welche Schwachstellen tatsächlich Ihr Unternehmen betreffen Veröffentlichung.

Bereit für die praktische SBOM-Konformität?

Installieren Sie Stella Ops und beginnen Sie mit der Generierung prüfungsbereiter SBOMs mit Multi-Source-VEX-Unterstützung.

Zugang anfragen Dokumentation ansehen