Beweis-Engine

Wissen, welche Schwachstellen wirklich wichtig sind

Generieren Sie SBOMs, analysieren Sie hybride Erreichbarkeit und produzieren Sie signierte Nachweise für jedes Artefakt.

Deutlich weniger Fehlalarme durch Drei-Schichten-Analyse

Zugang anfragen Dokumentation ansehen

Der Erreichbarkeitsunterschied

Traditionelle Scanner sagen Ihnen, dass eine CVE existiert. Stella beweist, ob Ihr Code die verwundbare Funktion tatsächlich aufruft.

Statische Analyse

Aufrufgraph-Extraktion aus Bytecode und Quellcode. Verfolgt Ausführungspfade zu verwundbaren Funktionen.

Manifest-Analyse

Import-Anweisungen, Abhängigkeitsbäume, Paket-Manifeste. Identifiziert, welcher Code tatsächlich enthalten ist.

Runtime-Traces

Optionale Profiling-Daten für höhere Sicherheit. Beweist, welche Code-Pfade tatsächlich ausgeführt werden. eBPFExtended Berkeley Packet Filter — eine Linux-Kernel-Technologie, die sandboxed Programme für hochperformante Beobachtbarkeit und Laufzeitanalyse ohne Kernelmodule ausführt

Ergebnis: deutlich weniger Fehlalarme

Konzentrieren Sie sich auf 12 erreichbare CVEs statt auf 487 theoretische.

Der Unterschied in der Praxis

Typische Scanner-Ausgabe

Terminal
$ trivy image myapp:latest
Gesamt: 487 Schwachstellen
  CRITICAL: 23
  HIGH: 89
  MEDIUM: 241
  LOW: 134

"Super. Welche davon sind wirklich relevant?"

Stella Ops mit Erreichbarkeit

Terminal
$ stella scan myapp:latest --reachability
Gesamt: 487 CVEs erkannt
Erreichbar: 12 CVEs
  CRITICAL: 2 (beide im Auth-Pfad)
  HIGH: 4 (3 im API-Handler)
  MEDIUM: 6

Fokus auf das Wesentliche. Mit Vertrauen ausliefern.

SBOM-Fähigkeiten

Generieren, importieren und vergleichen Sie SBOMs mit vollständiger Versionshistorie und Herkunftsverfolgung.

Multi-Format-Unterstützung

CycloneDX 1.7, SPDX 3.0, Trivy-JSON mit Auto-Erkennung.

Delta-SBOM-Caching

Scans unter einer Sekunde im Warm-Pfad durch intelligentes Caching.

SBOM-Herkunfts-Ledger

Vollständige versionierte Historie mit Traversal-Abfragen.

Layer-bewusste Analyse

SBOM-Extraktion pro Layer und Basis-Image-Erkennung.

Semantischer SBOM-Vergleich

Erkennung wesentlicher Änderungen zwischen Releases.

Eigenes SBOM mitbringen

Importieren Sie externe SBOMs und fügen Sie Erreichbarkeitsanalyse hinzu.

11 Sprach-Analysatoren

.NET/C#
Java
Go
Python
Node.js
Ruby
Bun
Deno
PHP
Rust
Native
+weitere

Plus OS-Paket-Analysatoren für apk, apt, yum, dnf, rpm und pacman.

33+ Advisory-Quellen

Aggregieren Sie Schwachstellen-Intelligence aus globalen, Hersteller- und regionalen Quellen mit automatischer Synchronisierung und Konflikterkennung.

Globale Datenbanken

  • NVDNational Vulnerability Database – das US-Regierungsverzeichnis standardbasierter Schwachstellendaten (NIST), CVECommon Vulnerabilities and Exposures – eine eindeutige Kennung für eine öffentlich bekannte Sicherheitslücke (MITRE), OSVOpen Source Vulnerabilities – eine verteilte Schwachstellendatenbank für Open-Source-Projekte, GHSAGitHub Security Advisories – Sicherheits-Schwachstellendatenbank für Pakete auf GitHub
  • Alpine, Debian, Ubuntu, RHEL, SUSE
  • CISACybersecurity and Infrastructure Security Agency – US-Bundesbehörde für Cybersicherheitsrichtlinien und Schwachstellenkataloge KEVKnown Exploited Vulnerabilities – CISAs Katalog aktiv ausgenutzter Schwachstellen, EPSSExploit Prediction Scoring System – ein Wahrscheinlichkeitswert (0–100 %), der vorhersagt, wie wahrscheinlich eine Schwachstelle ausgenutzt wird v4

Hersteller-PSIRTs

  • Microsoft MSRC, Cisco PSIRT, Oracle CPU
  • VMware, Adobe PSIRT, Apple Security
  • Chromium, Kaspersky ICS-CERT

Nationale CERTs

  • CERT-FR, CERT-Bund (BSI), CERT-In
  • ACSC, CCCS, KISA, JVNJapan Vulnerability Notes – Japans Schwachstellendatenbank, verwaltet von JPCERT/CC und IPA
  • FSTEC BDU, NKCKI, Astra Linux

Benutzerdefinierte Feeds

  • Private Advisory-Konnektoren
  • Advisory-Merge-Engine mit Konfliktauflösung
  • Konnektor-Gesundheitsüberwachung

Alle Quellen dedupliziert mit signierten Snapshots für deterministisches Replay

Auf Geschwindigkeit gebaut

<1s

Warm-Pfad-Scans

Delta-SBOM-Caching für wiederholte Digests

70-90%

Fehlalarm-Reduzierung

Durch hybride Erreichbarkeitsanalyse

33+

Advisory-Quellen

Aggregiert mit automatischer Synchronisierung

Nachweis-Ausgabe

Jeder Scan produziert signierte, exportierbare Nachweise.

SBOMSoftware Bill of Materials – eine vollständige Liste aller Pakete und Abhängigkeiten in Ihrer Software-Snapshot (CycloneDXEin offenes Standardformat für Software Bill of Materials (SBOM), das branchenweit eingesetzt wird/SPDXSoftware Package Data Exchange – ein weiteres offenes Standardformat für SBOMs, weit verbreitet in Open Source)
Erreichbarkeitsgraph mit Kanten-Attestierungen
Advisory-Status zum Scan-Zeitpunkt
Pfad-Zeugengenerierung für Audit
DSSEDead Simple Signing Envelope – ein einfacher, flexibler Standard zum Signieren beliebiger Daten mit kryptographischen Signaturen-signierte Nachweisbündel
SARIF-Export für CI-Integration

Wo es passt

Nur Evidence Engine

Verwenden Sie die Scan- und Erreichbarkeitsfunktion von Stella als eigenständigen Beweisersteller.

  • Generieren Sie SBOMSoftware Bill of Materials – eine vollständige Liste aller Pakete und Abhängigkeiten in Ihrer Software + Erreichbarkeit für Ihre CI-Pipeline
  • Ergebnisse als SARIF, CycloneDXEin offenes Standardformat für Software Bill of Materials (SBOM), das branchenweit eingesetzt wird oder Decision Capsules exportieren
  • In Ihr vorhandenes CD-Tool integrieren

Vollständige Release-Kontrolle

Fügen Sie Orchestrierung, Richtlinien-Gates und Bereitstellungsausführung für eine durchgängige Release-Governance hinzu.

  • Scannen → Tor → Fördern → Bereitstellen → Beweisen
  • Umgebungsübergreifende Digest-First-Versionierung
  • A/B, Canary, Rollback mit Beweissicherung

Bereit, sich auf das Wesentliche zu konzentrieren?

Beginnen Sie mit dem Scannen mit Erreichbarkeitsanalyse.

Zugang anfragen Dokumentation ansehen

Release-Orchestrierung · Sicherheitsentscheidungen · Alle Funktionen