Sicherheit und verantwortungsvolle Offenlegung

Eine Schwachstelle melden

E-Mail: security@stella-ops.org

PGP: 9BCF 5D1D 6EA9 8F99 24F4 6071 B618 ABAF 7D23 C65D 7A86 77E8 2DE3 7815 6126 F723

Bitte geben Sie an:

• Auswirkung + betroffene Komponente/Version
• Reproduktionsschritte oder PoC
• Relevante Protokolle/Screenshots
• Ihre Präferenz Offenlegungszeitleiste

Wir bestätigen innerhalb von 72 Stunden und halten Sie auf dem Laufenden, bis ein Fix veröffentlicht wird.

Überprüfen Sie, was Sie ausführen

Schlüssel: /keys/

Container-Image überprüfen

cosign verify \
  --key https://stella-ops.org/keys/cosign.pub \
  registry.stella-ops.org/stella-ops/stella-ops:<VERSION>

Überprüfen Sie einen Offline-Kit-Tarball + signiertes Manifest

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature stella-ops-offline-kit-<DATE>.tgz.sig \
  stella-ops-offline-kit-<DATE>.tgz

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature offline-manifest-<DATE>.json.jws \
  offline-manifest-<DATE>.json

Sicherheitsmaßnahmen im Dienst

• Release-Integrität: Signaturen mitsignieren + DSSE-Bundles, die auf den genauen Git-Tag verweisen
• Beweiskette: Entscheidungskapseln sind signiert und abspielbar (siehe /evidence/)
• Zugriffsprotokolle: 7 Tage lang gespeichert, dann IP → sha256(ip)
• JWT-Zugriffsbuch: speichert nur Token-ID-Hash (keine E-Mail/IP)
• Token-Validierung: kann offline mit veröffentlichten öffentlichen Schlüsseln überprüft werden
• Container Härtung: Nicht-Root-UID, CPU-/RAM-Grenzwerte, SELinux/AppArmor-Unterstützung
• Air-Gap-Parität: Offline-Kit (siehe /offline/)

Keine obligatorische Telemetrie

Keine Analysen, Tracker, Pixel oder JS von Drittanbietern in der Web-Benutzeroberfläche. Produkttelemetrie ist standardmäßig deaktiviert und strikt aktiviert.

Datenschutzdetails: /privacy/