Evidencia y auditoría

Demuestre cada decisión. Vuelva a reproducirlo meses después.

Las cápsulas de decisión sellan la evidencia para que los auditores puedan verificar cualquier liberación, fuera de línea, de forma independiente, idéntica bit por bit.

Solicitar acceso Leer la especificación

Lo que esto significa para su negocio

Pruebas listas para cumplimiento generadas automáticamente — verifique y reproduzca meses después, incluso sin conexión. Cada decisión de lanzamiento se sella en una Cápsula de Decisión firmada que los auditores pueden verificar de forma independiente. Decision CapsuleUn paquete de evidencia firmado y exportable que sella cada entrada y salida de una decisión de lanzamiento para auditoría offline y reproducción determinista

Vista del auditor: lo que recibes

Exportar una cápsula de decisión produce un bundle firmado y direccionado por contenido con las entradas y salidas exactas usadas para la decisión de release.

  • SBOMSoftware Bill of Materials – una lista completa de todos los paquetes y dependencias de su software exacto usado para el escaneo
  • Snapshots congelados de feeds de vulnerabilidades (NVDNational Vulnerability Database – el repositorio del gobierno de EE.UU. de datos de vulnerabilidades basados en estándares, OSVOpen Source Vulnerabilities – una base de datos distribuida de vulnerabilidades para proyectos de código abierto, avisos de proveedores)
  • Evidencia de alcanzabilidad (artefactos de grafos de llamadas estáticos y trazas en runtime)
  • Versión de la política y reglas lattice usadas para el gate
  • Declaración VEXVulnerability Exploitability eXchange – declaraciones legibles por máquina sobre si las vulnerabilidades son realmente explotables en su contexto derivada con justificaciones
  • Firmas DSSEDead Simple Signing Envelope – un estándar simple y flexible para firmar datos arbitrarios con firmas criptográficas que cubren el contenido de la cápsula

Fuente: Documentación de cápsulas de decisión

¿Qué es un paquete de evidencia?

Contenido

Cada Cápsula de Decisión agrupa el SBOM exacto, feeds de vulnerabilidades congelados, grafos de alcanzabilidad, versión de política, VEX derivado y metadatos de aprobación.

Firma

Las firmas DSSE/in-toto hacen los paquetes a prueba de manipulaciones. Elige perfiles criptográficos alineados con FIPS, GOST R 34.10, SM2/SM3 o compatibles con eIDAS (la validación depende de tu proveedor de claves). CosignHerramienta de firma de contenedores del proyecto Sigstore para firmar y verificar imágenes de contenedores y artefactos SigstoreProyecto de código abierto que proporciona infraestructura gratuita de firma de código y registro de transparencia para la cadena de suministro de software

Exportar

Exporta cápsulas en cualquier paso de promoción. Almacena en Evidence Locker con semántica WORM para períodos de retención de cumplimiento.

Reproducir

Use stella replay para volver a ejecutar una decision historica con entradas identicas y verificar el mismo resultado.

Estructura de cápsula de muestra

Cada Decision Capsule es un directorio autónomo con artefactos firmados:

decision-capsule-20260126-prod-a1b2/
|- manifest.json         # Metadatos de la cápsula + firmas
|- sbom.cdx.json         # SBOM CycloneDX 1.7
|- sbom.cdx.json.sig     # Firma DSSE
|- reachability/
|  |- analysis.json      # Veredictos de alcanzabilidad
|  |- call-graph.json    # Prueba de análisis estático
|  `- analysis.json.sig  # Firma DSSE
|- policy/
|  |- rules.rego         # Snapshot de la política
|  `- verdict.json       # Decisión del gate + justificación
|- approvals/
|  `- jsmith.sig         # Firma de aprobación humana
`- feeds/
   `- snapshot.json      # Estado congelado de CVE/avisos

Manifest structure (advanced)

El manifiesto fija cada entrada y salida por digest para que la decisión pueda reproducirse más tarde. apiVersion: capsule.stellaops.dev/v1 metadata: id: "cap-2025-12-11-abc123" timestamp: "2025-12-11T14:30:00Z" scan_id: "scan-xyz789" inputs: sbom: format: "cyclonedx@1.6" digest: "sha256:..." feeds: - name: "nvd" snapshot: "2025-12-11" digest: "sha256:..." policy: version: "corp-policy@2025-12-01" digest: "sha256:..." outputs: vex: format: "openvex" digest: "sha256:..." signatures: - scheme: "DSSE" profile: "FIPS-aligned" signer: "build-ca@corp"
Read more

El manifiesto fija cada entrada y salida por digest para que la decisión pueda reproducirse más tarde.

apiVersion: capsule.stellaops.dev/v1
metadata:
  id: "cap-2025-12-11-abc123"
  timestamp: "2025-12-11T14:30:00Z"
  scan_id: "scan-xyz789"
inputs:
  sbom:
    format: "cyclonedx@1.6"
    digest: "sha256:..."
  feeds:
    - name: "nvd"
      snapshot: "2025-12-11"
      digest: "sha256:..."
  policy:
    version: "corp-policy@2025-12-01"
    digest: "sha256:..."
outputs:
  vex:
    format: "openvex"
    digest: "sha256:..."
signatures:
  - scheme: "DSSE"
    profile: "FIPS-aligned"
    signer: "build-ca@corp"

Verification commands (step-by-step)

Los auditores pueden verificar firmas, comprobar la integridad y reproducir decisiones de forma independiente — sin infraestructura de Stella. 1 $ cosign verify-blob --key example-capsule.pub --signature example-capsule.sig example-capsule.tar.gz Verifica la firma de la cápsula de ejemplo con cosign (clave de demostración) 2 $ tar -xzf example-capsule.tar.gz && stella capsule verify ./decision-capsule-2026-01-20/ Extrae la cápsula y comprueba los digests del manifiesto 3 $ stella replay ./decision-capsule-2026-01-20/ --offline Reproduce la decisión con entradas congeladas Los tres comandos funcionan sin conexión. La evidencia viaja con la cápsula.
Read more

Los auditores pueden verificar firmas, comprobar la integridad y reproducir decisiones de forma independiente — sin infraestructura de Stella.

  1. 1
    $ cosign verify-blob --key example-capsule.pub --signature example-capsule.sig example-capsule.tar.gz

    Verifica la firma de la cápsula de ejemplo con cosign (clave de demostración)

  2. 2
    $ tar -xzf example-capsule.tar.gz && stella capsule verify ./decision-capsule-2026-01-20/

    Extrae la cápsula y comprueba los digests del manifiesto

  3. 3
    $ stella replay ./decision-capsule-2026-01-20/ --offline

    Reproduce la decisión con entradas congeladas

Los tres comandos funcionan sin conexión. La evidencia viaja con la cápsula.

Pruébalo: Cápsula de decisión de ejemplo

Descarga una cápsula de ejemplo saneada para explorar la estructura y ejecutar los comandos de verificación localmente.

Contiene: SBOM, evidencia de alcanzabilidad, instantánea de la política, aprobaciones de ejemplo. Firma y clave pública incluidas para verificación local.

Descargar cápsula de ejemplo Descargar firma Descargar clave pública

Cadena de evidencia

Cómo fluye la evidencia a través de Stella
Flujo de evidenciaImagenSBOMAlcanzabilidadVeredicto de políticaFirmado con DSSEFirmado con DSSEFirmado con DSSE

Qué contiene una Cápsula de Decisión

Digest del artefacto

Dirección de contenido SHA-256

Firmado

Snapshot de SBOM

CycloneDX 1.7 / SPDX 3.0

Firmado

Evidencia de alcanzabilidad

Grafo + atestaciones de aristas

Firmado

Estado VEX

Veredicto resuelto en lattice

Firmado

Versión de política

Rego/DSL con dirección de contenido

Firmado

Aprobaciones

Registros de aprobación firmados

Firmado

Flujo de trabajo de cumplimiento

Los auditores pueden reproducir decisiones meses después
Flujo de reproducción para auditoríaCápsula de decisiónde hace 6 mesesstella replayMismo veredictoidéntico bit a bit
  1. 1

    El auditor pregunta

    "Muéstrame prueba de que esta CVE fue manejada correctamente en el release de enero."

  2. 2

    El operador exporta

    stella cápsula exportar jan-release-capsule.yaml --formato paquete de auditoría

  3. 3

    El paquete verifica

    El auditor ejecuta stella capsule verify jan-release-capsule.yaml — las firmas verifican, los digests coinciden.

  4. 4

    La reproducción confirma

    stella replay jan-release-capsule.yaml produce un veredicto idéntico con entradas congeladas.

Reproducción determinista

Ejecute la misma decisión 6 meses después: las mismas entradas congeladas producen un veredicto idéntico. No se requiere red, no hay deriva de estado, no hay ambigüedad.

  • Verifica las firmas de la cápsula con claves fijadas.
  • Confirma que los digests del SBOMSoftware Bill of Materials – una lista completa de todos los paquetes y dependencias de su software y del feed coinciden con el manifiesto.
  • Repite con el mismo bundle de políticas y entradas de alcanzabilidad.
  • Exporta el bundle de auditoría con veredicto, VEXVulnerability Exploitability eXchange – declaraciones legibles por máquina sobre si las vulnerabilidades son realmente explotables en su contexto y pruebas.
Terminal
$ stella replay capsule.json --verify
Reproduciendo decisión de 2025-07-15T14:32:00Z...
Versión de la política: sha256:e5f6g7h8... (coincide)
Snapshot del feed:  sha256:i9j0k1l2... (coincide)
Veredicto: ALLOW (idéntico al original)
Chequeo de determinismo: PASS

Formatos e interoperabilidad

SBOM

CycloneDX 1.7 y SPDX 3.0.1. Importe desde Trivy, Grype, Syft o genere de forma nativa.

VEX

OpenVEX y CSAF 2.0. Resolución de celosía de múltiples emisores con detección de conflictos.

SARIF

Exportación de formato de intercambio de resultados de análisis estático para integración IDE y CI.

Verificación con espacio libre

Los auditores verifican las firmas, verifican la integridad del resumen y reproducen decisiones sin ningún acceso a la red. Todo el material criptográfico viaja con la cápsula.

Terminal
$ stella capsule verify decision-capsule.yaml --offline
Verificación de firma: PASS (ECDSA-P256)
Coincidencia de digest:           PASS (sha256:abc123...)
Versión de la política:         VALID (v3.2.1)
Integridad de evidencias:     TODOS LOS COMPONENTES FIRMADOS
Veredicto:                ALLOW — no se requiere red

Estado de los artefactos de confianza independientes

Los compradores que evalúan el lanzamiento de la producción suelen solicitar la validación de terceros además de las pruebas propias. Esta sección muestra lo que ya es público y lo que aún está en progreso.

Público ahora

Las claves de verificación, los ejemplos de cápsulas firmadas, los comandos de repetición deterministas y las estructuras de evidencia exportables están disponibles públicamente.

En curso

Los resúmenes de evaluaciones de terceros y los estudios de casos piloto nombrados aún no se publican como artefactos públicos.

Por la debida diligencia

El paquete de seguridad, la evidencia de arquitectura y las discusiones de referencia piloto se pueden analizar durante la evaluación para equipos con puertas de adquisiciones.

Empezar con Claves de verificación, Paquete de seguridad, y Contacto para solicitar materiales de revisión empresarial.

¿Listo para hacer los releases auditables?

Solicitar acceso Cómo funciona

Leer la especificación de Cápsulas de Decisión · Ver todas las características