Funciones
Plano de control auditable de lanzamientos
Orquesta SCM, registros, Consul, Vault y versionado por digest. Las im?genes se analizan en busca de vulnerabilidades, se filtran por alcanzabilidad y cada promoci?n es auditable.
- → Pruebas de alcanzabilidad firmadas — no suposiciones, rutas de llamadas exactas
- → Replay determinista — verifica cualquier decisión meses después
- → Lattice
VEXVulnerability Exploitability eXchange – declaraciones legibles por máquina sobre si las vulnerabilidades son realmente explotables en su contexto— los conflictos son estado, no supresión
Lo que esto significa para su negocio
Reduzca las colas de triaje de CVEs alcanzables, mantenga reproducibles los veredictos de promocion y pase en auditoria de la reconstruccion narrativa a la verificacion por firmas y replay.
Anclas de evidencia
Valida las afirmaciones con Decision Capsules, ejemplos de replay y evidencia de flujo de extremo a extremo.
Evidencia y auditoria | Especificacion de Decision Capsule | Como funciona
Lo que obtienes en 30 minutos
Instalar
Configuración de Docker Compose
Escanear
SBOM + alcanzabilidad
Promocionar
Dev → Staging
Exportar
Cápsula de decisión
Cuatro pilares de lanzamientos con grado de evidencia
SBOM y VEX de primera clase
Genera SBOMs SPDX/CycloneDX, ingiere OpenVEX de múltiples emisores y resuelve conflictos con lógica lattice K4: determinista y compatible con operación offline. SBOMSoftware Bill of Materials – una lista completa de todos los paquetes y dependencias de su software VEXVulnerability Exploitability eXchange – declaraciones legibles por máquina sobre si las vulnerabilidades son realmente explotables en su contexto
- → Genera
SBOMSoftware Bill of Materials – una lista completa de todos los paquetes y dependencias de su softwareSPDXSoftware Package Data Exchange – otro formato estándar abierto para SBOMs, ampliamente usado en código abierto3.0.1 yCycloneDXUn formato estándar abierto para SBOM utilizado en toda la industria1.7 a partir de imágenes de contenedor - → Ingiere
OpenVEXUn formato estándar abierto para declaraciones VEX sobre la explotabilidad de vulnerabilidadesde múltiples emisores con resolución de conflictos K4 lattice - → Empareja
CVECommon Vulnerabilities and Exposures – un identificador único para una vulnerabilidad de seguridad conocida públicamentede más de 30 fuentes de avisos con escaneos warm-path en menos de un segundo
Accesibilidad como evidencia
El análisis de tres capas (gráficos de llamadas estáticas, símbolos binarios, sondas eBPF en tiempo de ejecución) produce pruebas DSSE firmadas que reducen significativamente los falsos positivos. ReachabilityAnálisis que demuestra si el código vulnerable es realmente llamado por su aplicación — filtrando falsos positivos del ruido de escáneres
- → Análisis de tres capas: grafos de llamada estáticos, símbolos binarios, sondas
eBPFExtended Berkeley Packet Filter — una tecnología del kernel de Linux que ejecuta programas aislados para observabilidad y análisis en tiempo de ejecución de alto rendimiento sin módulos del kernelen tiempo de ejecución - → Pruebas
DSSEDead Simple Signing Envelope – un estándar simple y flexible para firmar datos arbitrarios con firmas criptográficasfirmadas — no afirmaciones, evidencia verificable - → Significativamente menos falsos positivos: céntrate en 12
CVECommon Vulnerabilities and Exposures – un identificador único para una vulnerabilidad de seguridad conocida públicamentealcanzables, no en 487 teóricas
Versionado basado en digest
Los lanzamientos son conjuntos inmutables de digests OCI, resueltos en el momento de crearse; las etiquetas son alias, los digests son la verdad y cada pull es detectable ante manipulación.
- → Los releases son conjuntos de digests
OCIOpen Container Initiative — el estándar de la industria para formatos de imagen de contenedores y registrosinmutables resueltos al crearse - → Las etiquetas son alias, los digests son la verdad — cada pull detecta manipulación
- → Rastro completo de auditoría: saber exactamente qué se desplegó, dónde y cuándo
Despliegue sin agente
Despliega en servidores Linux (SSH) y Windows (WinRM) con estrategias canary, rolling o blue/green — el rollback vuelve a digests de confianza.
- → Despliega en Docker Compose, Swarm, ECS, Nomad o hosts con scripts
- → Ejecución vía SSH (Linux) y WinRM (Windows) — sin agentes por diseño.
- → Estrategias canary, rolling y Blue/Green con rollback instantáneo
Lo que hace diferente a Stella
La mayoría de las herramientas entregan hallazgos o despliegues. Stella entrega pruebas.
Evidencia, no afirmaciones
Cada decisión está respaldada por evidencia firmada y reproducible. Los auditores pueden verificar de forma independiente — sin dependencia del proveedor.
Primero no-Kubernetes
Docker Compose, ECS, Nomad y hosts con scripts son objetivos principales — no añadidos a un diseño centrado en K8s.
Reproducción determinista
Repite cualquier decisión 6 meses después con entradas congeladas. Mismo SBOM, mismos feeds, misma política — salida idéntica bit a bit.
Soberano y offline
Opera totalmente en air-gap con bundles de feeds firmados. Perfiles cripto alineados con FIPS, GOST, SM2/SM3 y compatibles con eIDAS (la validación depende de tu proveedor de claves). Sin telemetría obligatoria; solo opt-in (desactivada por defecto).
Cómo se compara Stella
Stella combina escaneo, políticas e implementación en una plataforma vinculada a la evidencia. Vea cómo se compara.
| Herramienta | Categoría | Diferencia clave | |
|---|---|---|---|
| Trivy / Grype | Escáneres | Solo hallazgos — sin alcanzabilidad, sin orquestación | Comparar → |
| Snyk | Plataforma SCASoftware Composition Analysis — escaneo automatizado de componentes de terceros y de código abierto en busca de vulnerabilidades conocidas y riesgos de licencias | Solo SaaS, sin reproducción determinista | Comparar → |
| Octopus Deploy | Plataforma CD | Sin escaneo de seguridad integrado ni cadena de evidencias | Comparar → |
| GitHub Actions | CI/CD | Enfocado en CI, sin capa de orquestación de releases | Comparar → |
| Harness | Plataforma CD | Centrada en K8s, soporte limitado fuera de K8s | Comparar → |
¿Listo para las publicaciones con grado de evidencia?
Instalar con Docker Compose y ejecute su primera promoción verificada.