SBOM y VEX de primera clase

Sabe lo que hay en tus contenedores

Genera SBOMs estándar de la industria y aplica declaraciones VEX de múltiples fuentes, con resolución inteligente de conflictos y verificación sin conexión integrada.

Solicitar acceso Ver todas las funciones

Lo que esto significa para su negocio

Sepa exactamente qué contiene cada lanzamiento y qué avisos aplican. Stella genera SBOMs firmados y resuelve declaraciones VEX contradictorias para que los equipos de cumplimiento obtengan una imagen clara. VEX?Vulnerability Exploitability eXchange – declaraciones legibles por máquina sobre si las vulnerabilidades son realmente explotables en su contexto

Formatos estándar de la industria

Stella genera SBOMs en los formatos que esperan tus auditores y equipos de cumplimiento, con metadatos y procedencia completos de los componentes.

SPDX 3.0.1

El estándar ISO/IEC 5962 (SPDX) con metadatos completos de proveedor y expresiones de licencia SPDX.

CycloneDX 1.7

OWASP CycloneDX con soporte VEX integrado y extensiones de grafo de dependencias.

Genera, verifica y publica SBOMs desde la CLI

Terminal

$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwrite

Por qué importa

Los SBOM se están volviendo obligatorios. Stella los hace prácticos.

Resultados reproducibles

La misma imagen, el mismo SBOM, siempre. Los auditores pueden verificar tus resultados de forma independiente.

Funciona sin conexión

Genera y verifica SBOMs en entornos air-gap. No se requieren conexiones externas.

Listo para el cumplimiento

Compatible con EO 14028, EU CRA y otros requisitos de seguridad de la cadena de suministro con SBOMs firmados y verificables.

Firmado criptográficamente

Cada SBOM está firmado y es a prueba de manipulaciones. Evidencia en la que puedes confiar.

VEX: contexto para vulnerabilidades

No todos los CVE te afectan. Las declaraciones VEX (Vulnerability Exploitability eXchange) permiten a los proveedores y a tu propio análisis indicar qué vulnerabilidades importan para tu despliegue específico.

Afectado

No afectado

Corregido

Bajo investigación

VEX elimina el ruido: un CVE en una biblioteca que no usas no es tu problema. Stella aplica declaraciones VEX automáticamente para centrar tu atención en lo que importa.

Lo que esto significa para su negocio

Cuando los escáneres no coinciden, vea toda la evidencia en lugar de una anulación silenciosa. Stella muestra los conflictos para que su equipo tome decisiones informadas — menos vulnerabilidades omitidas, menos remediación innecesaria.

How conflict states are computed (advanced)

Cuando varias fuentes no están de acuerdo, Stella utiliza la lógica de cuatro valores de Belnap para calcular el estado definitivo. Los conflictos se vuelven visibles, no se ocultan. ⊥ Desconocido Aún no hay información. Estado predeterminado antes de aplicar cualquier declaración . T Afectado Al menos un emisor dice que esta vulnerabilidad te afecta. F No afectado Al menos un emisor dice que no estás afectado. ⊤ Conflicto Varios emisores no están de acuerdo. Requiere revisión o una anulación por una autoridad superior. El proveedor dice "no afectado", pero tu sonda de runtime observó la función invocada. Resultado: Conflicto (⊤): el desacuerdo es visible, no se suprime silenciosamente. Sin supresión silenciosa. Sin suposiciones ocultas. La incertidumbre se rastrea y sale a la luz.

Cuando varias fuentes VEX no están de acuerdo, Stella utiliza la lógica de cuatro valores de Belnap para calcular el estado definitivo. Los conflictos se vuelven visibles, no se ocultan.

⊥

Desconocido

Aún no hay información. Estado predeterminado antes de aplicar cualquier declaración VEX.

Afectado

Al menos un emisor dice que esta vulnerabilidad te afecta.

No afectado

Al menos un emisor dice que no estás afectado.

⊤

Conflicto

Varios emisores no están de acuerdo. Requiere revisión o una anulación por una autoridad superior.

El proveedor dice "no afectado", pero tu sonda de runtime observó la función invocada. Resultado: Conflicto (⊤): el desacuerdo es visible, no se suprime silenciosamente.

Sin supresión silenciosa. Sin suposiciones ocultas. La incertidumbre se rastrea y sale a la luz.

Multi-source VEX aggregation (advanced)

Los proveedores, distribuidores y tu propio equipo de seguridad pueden publicar declaraciones . Stella las agrega con consenso ponderado. Ingiere de proveedores de software, distribuidores de Linux y fuentes internas Las fuentes se ponderan por autoridad: tus evaluaciones internas pueden anular las externas Los conflictos disparan flujos de trabajo de revisión en lugar de resolverse silenciosamente Una única fuente de verdad En lugar de hacer malabarismos con hojas de cálculo y correos, obtén una vista única y autorizada de qué vulnerabilidades afectan realmente a tu lanzamiento.

Los proveedores, distribuidores y tu propio equipo de seguridad pueden publicar declaraciones VEX. Stella las agrega con consenso ponderado.

Ingiere VEX?Vulnerability Exploitability eXchange – declaraciones legibles por máquina sobre si las vulnerabilidades son realmente explotables en su contexto de proveedores de software, distribuidores de Linux y fuentes internas
Las fuentes se ponderan por autoridad: tus evaluaciones internas pueden anular las externas
Los conflictos disparan flujos de trabajo de revisión en lugar de resolverse silenciosamente

Una única fuente de verdad

En lugar de hacer malabarismos con hojas de cálculo y correos, obtén una vista única y autorizada de qué vulnerabilidades afectan realmente a tu lanzamiento.

¿Listo para el cumplimiento práctico de SBOM?

Instala Stella Ops y comienza a generar SBOMs listos para auditoría con soporte VEX multi-fuente.

Solicitar acceso Ver documentación