Toma de decisiones de seguridad

Decisiones que puedes demostrar y reproducir

Controla versiones con evaluación de políticas, resolución VEX en retículo y veredictos deterministas. Cada decisión exporta una cápsula firmada y reproducible.

Solicitar acceso Ver documentación

El problema con los flujos de seguridad típicos

Los hallazgos del escáner se acumulan. Las excepciones se amontonan. Seis meses después, nadie puede explicar por qué una CVE se marcó como «aceptable».

Flujo de seguridad típico

  • VEXVulnerability Exploitability eXchange – declaraciones legibles por máquina sobre si las vulnerabilidades son realmente explotables en su contexto como supresión ciega — «marcar como no afectado»
  • Declaraciones en conflicto ignoradas, no resueltas
  • Decisiones dispersas en tickets y correos
  • Sin forma de demostrar qué se sabía en el momento de la decisión

Toma de decisiones con Stella Ops

  • VEXVulnerability Exploitability eXchange – declaraciones legibles por máquina sobre si las vulnerabilidades son realmente explotables en su contexto como estado — los conflictos se detectan y se rastrean
  • Consenso ponderado por confianza, con justificación
  • Decisiones selladas en cápsulas exportables
  • Reproducción determinista con entradas congeladas

Motor de consenso VEX

No es supresión ciega. Un retículo de 5 estados con ponderación de confianza, detección de conflictos y justificación exportable.

Retículo VEX de 5 estados

Las declaraciones VEX se resuelven a través de un retículo ponderado por confianza. Los conflictos son un estado de primera clase, no errores ocultos.

Corregido

No afectado

Afectado

Conflicto

Desconocido

Puntuación por vector de confianza

9 factores: autoridad del emisor, especificidad, frescura y más.

Detección de conflictos

Afirmaciones contradictorias marcadas para resolución; no se fusionan silenciosamente.

Decaimiento de frescura

La vida media de 14 días asegura que las afirmaciones obsoletas pierdan influencia.

7 proveedores de CSAF

RedHat, Ubuntu, Oracle, MSRC, Cisco, SUSE, VMware.

Exportación de justificación

Explicabilidad con grado de auditoría para cada consenso.

UI de estudio de conflictos

Resolución visual para afirmaciones VEX en conflicto.

Motor de políticas

10+ tipos de puntos de control con lógica Belnap K4 de cuatro valores. Verdadero, Falso, Ambos y Ninguno son estados válidos.

Tipos de puntos de control de política

  • Puntos de control de umbral de severidad (CVSSCommon Vulnerability Scoring System – una puntuación de gravedad de 0 a 10 que indica qué tan crítica es una vulnerabilidad, EPSSExploit Prediction Scoring System – una puntuación de probabilidad (0–100%) que predice qué tan probable es que una vulnerabilidad sea explotada)
  • Requisito de alcanzabilidad para críticos
  • Punto de control de presupuesto de desconocidos — incertidumbre rastreada
  • Punto de control de cuota de fuentes — aplicación de límite del 60%
  • Integración OPAOpen Policy Agent — un motor de políticas de código abierto para la aplicación granular y contextual de políticas en toda la pila/Rego para reglas personalizadas

Puntuación de riesgo

  • CVSSCommon Vulnerability Scoring System – una puntuación de gravedad de 0 a 10 que indica qué tan crítica es una vulnerabilidad v4.0, probabilidad EPSSExploit Prediction Scoring System – una puntuación de probabilidad (0–100%) que predice qué tan probable es que una vulnerabilidad sea explotada v4
  • Detección KEVKnown Exploited Vulnerabilities – catálogo de CISA de vulnerabilidades activamente explotadas (explotadas conocidas)
  • Multiplicadores de puntos de control conscientes de alcanzabilidad
  • Perfiles de puntuación personalizados
  • Simulación de políticas antes del despliegue

Cápsulas de decisión

Cada evaluación de punto de control produce un paquete de evidencia sellado y exportable. Seis meses después, reproduce la decisión exacta.

Qué contiene una cápsula

Digest del artefacto (SHA-256)
Instantánea SBOMSoftware Bill of Materials – una lista completa de todos los paquetes y dependencias de su software
Evidencia de alcanzabilidad
Estado VEXVulnerability Exploitability eXchange – declaraciones legibles por máquina sobre si las vulnerabilidades son realmente explotables en su contexto (resuelto por retículo)
Versión de política + veredicto
Firmas de aprobación
Terminal
$ stella replay decision-capsule-2026-01-15.yaml --verify
Reproduciendo decisión de 2026-01-15T14:32:00Z...
Versión de la política: sha256:e5f6g7h8... (coincide)
Snapshot del feed:  sha256:i9j0k1l2... (coincide)
Estado VEX:      sha256:m3n4o5p6... (coincide)
Veredicto:  ALLOW (idéntico al original)
Chequeo de determinismo: APROBADO

Mismas entradas → mismas salidas. Listo para auditoría.

Atestación y firma

Infraestructura de firma

  • Firma de sobre DSSEDead Simple Signing Envelope – un estándar simple y flexible para firmar datos arbitrarios con firmas criptográficas con in-totoUn marco para asegurar la cadena de suministro de software verificando que cada paso fue ejecutado según lo planificado y por actores autorizados
  • Firma sin claves mediante SigstoreProyecto de código abierto que proporciona infraestructura gratuita de firma de código y registro de transparencia para la cadena de suministro de software/Fulcio
  • Integración con registro de transparencia RekorRegistro de transparencia de Sigstore que proporciona un libro mayor inmutable y resistente a manipulaciones de firmas de software
  • Servicio de rotación de claves con soporte HSM

25+ tipos de predicados

  • Predicados SBOMSoftware Bill of Materials – una lista completa de todos los paquetes y dependencias de su software, VEXVulnerability Exploitability eXchange – declaraciones legibles por máquina sobre si las vulnerabilidades son realmente explotables en su contexto y alcanzabilidad
  • Predicados de decisión de política
  • Predicados de aprobación humana
  • Procedencia SLSASupply-chain Levels for Software Artifacts — un marco para garantizar la integridad de los artefactos de software a lo largo de la cadena de suministro v1.0

Qué lo hace diferente

Veredictos explicables

Cada decisión incluye trazas de justificación y desgloses de puntuación.

Desconocidos como estado

La incertidumbre se rastrea y se presupuesta; no se oculta ni se ignora.

Reproducción determinista

Mismas entradas, mismas salidas. Demuestra cualquier decisión meses después.

¿Listo para decisiones que puedes demostrar?

Comienza con la configuración de políticas y tu primera evaluación de punto de control.

Solicitar acceso Ver documentación

Orquestación de lanzamientos · Motor de evidencias · Evidencias y auditoría