Conectar. Empaquetar. Controlar. Desplegar.

Stella Ops conecta tu cadena de herramientas, produce evidencia, controla las promociones y exporta la prueba de decisión para cada versión.

Solicitar acceso Ver documentación

Anclas de evidencia

Valida las afirmaciones con Decision Capsules, ejemplos de replay y evidencia de flujo de extremo a extremo.

Evidencia relacionada: Evidencia y auditoria | Especificacion de Decision Capsule | Operaciones y despliegue

Después de la configuración inicial, tendrá:

1. Su primera imagen escaneada con SBOM?Software Bill of Materials – una lista completa de todos los paquetes y dependencias de su software + alcanzabilidad análisis
2. Una cápsula de decisión firmada que demuestra el análisis resultados
3. Una promoción completa desde el desarrollo hasta la puesta en escena con evidencia

Dónde encaja Stella Ops

Stella se sitúa entre su CI y sus servidores. CI construye imágenes. Stella decide si pueden ser promovidas, las despliega en destinos no Kubernetes (Compose, SSH/WinRM, ECS, Nomad) y exporta pruebas para auditoría.

Resumen de arquitectura

El plano de control de Stella Ops se sitúa entre tus entradas (CI/CD, registros, feeds) y tus salidas (objetivos de despliegue, sistemas de auditoría). La evidencia fluye y se sella en cada paso.

Stella Ops Architecture Diagram — Arquitectura de Stella Ops Suite — autoalojada con módulos para cada capa, extensible mediante plugins

Ciclo de vida del release de un vistazo

Conecta, empaqueta, bloquea, despliega y exporta una cápsula de decisión con evidencia ligada al digest del artefacto.

Conectar registro, SCM, CI e infraestructura

Vincula tus registros de contenedores, pipelines CI y componentes de infraestructura para construir un libro de versiones basado en digest. Stella monitorea las nuevas imágenes y se coordina con tu infraestructura existente.

Fuente y Registro

→ Docker Hub, Harbor, ECR, GCR, ACR
→ Webhooks de GitHub, GitLab, Bitbucket
→ Jenkins, GitHub Actions, GitLab CI

Infraestructura

→ HashiCorp Vault para secretos
→ HashiCorp Consul para registro de servicios
→ SSH/WinRM para objetivos remotos (sin agentes por diseño)

Construir el paquete de versión

Captura los digests de artefactos, SBOMs y procedencia como una única unidad de promoción. El paquete atraviesa los entornos, acumulando evidencia en cada paso.

→ Generación SBOM?Software Bill of Materials – una lista completa de todos los paquetes y dependencias de su software CycloneDX?Un formato estándar abierto para SBOM utilizado en toda la industria / SPDX?Software Package Data Exchange – otro formato estándar abierto para SBOMs, ampliamente usado en código abierto
→ Atestación de procedencia SLSA?Supply-chain Levels for Software Artifacts — un marco para garantizar la integridad de los artefactos de software a lo largo de la cadena de suministro
→ Identidad de artefacto direccionada por contenido (SHA-256)

Controlar con alcanzabilidad híbrida + política

Evalúa la política contra la evidencia en cada promoción. El análisis de alcanzabilidad híbrida usa tres capas para determinar qué vulnerabilidades tu código realmente llama:

1. Análisis estático

Extracción de grafos de llamadas desde bytecode/fuente

2. Análisis de manifiestos

Declaraciones import/require, árboles de dependencias

3. Trazas de ejecución

Datos de perfilado opcionales para mayor confianza

Terminal

$ stella gate evaluate --env stage --artifact sha256:abc123...
✓ 487 CVE encontrados en dependencias
✓ 475 NO ALCANZABLES (análisis híbrido)
! 12 ALCANZABLES (evaluadas contra la política)
Veredicto de la política: PASS — 12 CVE alcanzables por debajo del umbral
Evaluación del gate guardada: evidence/gate-stage-2025-07-15.json

Resultado: significativamente menos falsos positivos comparado con el conteo tradicional de CVE.

Desplegar + exportar Cápsula de decisión

Ejecuta el despliegue a tus objetivos y exporta un paquete de evidencia firmado. Configura entornos vía SSH/WinRM o usa los proveedores integrados — todos los despliegues son sin agentes por diseño.

Objetivos de despliegue

→ Despliegues Docker Compose
→ AWS ECS / Fargate
→ HashiCorp Nomad
→ Despliegues con scripts (.NET 10)

Configuración de entorno

→ SSH para objetivos Linux/Unix
→ WinRM para objetivos Windows
→ Vault para inyección de secretos
→ Consul para descubrimiento de servicios

Las Cápsulas de decisión están firmadas con DSSE y contienen todo para exportación de auditoría y replay determinista.

La diferencia de la alcanzabilidad

Sin alcanzabilidad

487 CVE?Common Vulnerabilities and Exposures – un identificador único para una vulnerabilidad de seguridad conocida públicamente para clasificar
Días de investigación
Sin rastro de auditoría
Adivinar la explotabilidad
Excepciones ad-hoc

Con Stella Ops

12 CVE?Common Vulnerabilities and Exposures – un identificador único para una vulnerabilidad de seguridad conocida públicamente alcanzables para corregir
Horas hasta la resolución
Exportación de Cápsula de decisión
Prueba de rutas de llamadas
Puertas gobernadas por política

Lo que reciben los auditores

Cada Cápsula de decisión contiene:

Digest exacto del artefacto (SHA-256)
Snapshot de SBOM?Software Bill of Materials – una lista completa de todos los paquetes y dependencias de su software (CycloneDX?Un formato estándar abierto para SBOM utilizado en toda la industria/SPDX?Software Package Data Exchange – otro formato estándar abierto para SBOMs, ampliamente usado en código abierto)
Evidencia de alcanzabilidad (grafos firmados)
Versión de política + veredicto
Estado VEX?Vulnerability Exploitability eXchange – declaraciones legibles por máquina sobre si las vulnerabilidades son realmente explotables en su contexto (resuelto por lattice)
Registros de aprobación firmados

Los auditores pueden verificar firmas independientemente y reproducir la decisión offline usando stella replay.

¿Listo para verlo en acción?

Solicitar acceso Ver documentación

Ver todas las características | Evidencia y Auditoría | Documentación