Sicherheit und verantwortungsvolle Offenlegung

Stella Ops Suite ist für überprüfbare Release-Governance konzipiert:

  • Veröffentlichungen sind mitsigniert
  • Beweisexporte sind DSSEDead Simple Signing Envelope – ein einfacher, flexibler Standard zum Signieren beliebiger Daten mit kryptographischen Signaturen-attestiert
  • Richtlinien und Entscheidungen können für die Prüfung deterministisch wiedergegeben werden

Security- & Compliance-Pack

Benötigen Sie beschaffungsfertige Sicherheitsdokumentation? Das Pack deckt Architektur, Krypto-Profile, Logging/Retention und Verifizierungsartefakte ab.

Security Pack anfordern Verifizierungsschlüssel

Enthält Fragebögen (SIG/CAIQ), Hardening-Hinweise, SBOM/Provenance und Verifizierungsschritte.

Eine Schwachstelle melden

E-Mail: security@stella-ops.org

PGP: 9BCF 5D1D 6EA9 8F99 24F4 6071 B618 ABAF 7D23 C65D 7A86 77E8 2DE3 7815 6126 F723

Bitte geben Sie an:

  • Auswirkung + betroffene Komponente/Version
  • Reproduktionsschritte oder PoC
  • Relevante Protokolle/Screenshots
  • Ihre Präferenz Offenlegungszeitleiste

Wir bestätigen innerhalb von 72 Stunden und halten Sie auf dem Laufenden, bis ein Fix veröffentlicht wird.

Überprüfen Sie, was Sie ausführen

Schlüssel: /keys/

Container-Image überprüfen

cosign verify \
  --key https://stella-ops.org/keys/cosign.pub \
  registry.stella-ops.org/stella-ops/stella-ops:<VERSION>

Überprüfen Sie einen Offline-Kit-Tarball + signiertes Manifest

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature stella-ops-offline-kit-<DATE>.tgz.sig \
  stella-ops-offline-kit-<DATE>.tgz

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature offline-manifest-<DATE>.json.jws \
  offline-manifest-<DATE>.json

Sicherheitsmaßnahmen im Dienst

  • Release-Integrität: Signaturen mitsignieren + DSSEDead Simple Signing Envelope – ein einfacher, flexibler Standard zum Signieren beliebiger Daten mit kryptographischen Signaturen-Bundles, die auf den genauen Git-Tag verweisen
  • Beweiskette: Entscheidungskapseln sind signiert und abspielbar (siehe /evidence/)
  • Zugriffsprotokolle: 7 Tage lang gespeichert, dann IP → sha256(ip)
  • JWT-Zugriffsbuch: speichert nur Token-ID-Hash (keine E-Mail/IP)
  • Token-Validierung: kann offline mit veröffentlichten öffentlichen Schlüsseln überprüft werden
  • Container Härtung: Nicht-Root-UID, CPU-/RAM-Grenzwerte, SELinux/AppArmor-Unterstützung
  • Air-Gap-Parität: Offline-Kit (siehe /offline/)

Keine obligatorische Telemetrie

Keine Analysen, Tracker, Pixel oder JS von Drittanbietern in der Web-Benutzeroberfläche. Produkttelemetrie ist standardmäßig deaktiviert und strikt aktiviert.

Datenschutzdetails: /privacy/