SPDX 3.0.1
La última versión ISO/IEC Estándar 5962 con metadatos completos del proveedor y SPDX expresiones de licencia.
Primera clase SBOM y VEX
Sepa lo que hay en sus contenedores
Genere SBOMs estándar de la industria y aplique declaraciones VEX de múltiples fuentes, con resolución inteligente de conflictos y verificación fuera de línea integrada.
Formatos estándar de la industria
Stella genera SBOMs en los formatos que esperan sus auditores y equipos de cumplimiento, con metadatos y procedencia completos de los componentes.
CycloneDX 1.7
OWASP CycloneDX con soporte integrado VEX y extensiones de gráfico de dependencia.
Generar, verificar y publicar SBOMs de CLI
$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwritePor qué Asuntos
SBOMs se están volviendo obligatorias. Stella los hace prácticos.
Resultados reproducibles
La misma imagen, el mismo SBOM, siempre. Los auditores pueden verificar sus resultados de forma independiente.
Funciona sin conexión
Genere y verifique SBOMs en entornos con espacios aislados. No se requieren llamadas externas.
Listo para el cumplimiento
Cumplir con EO 14028, EU CRA y los requisitos de seguridad de la cadena de suministro con SBOMs firmados y verificables.
Criptográficamente Firmado
Cada SBOM está firmado y es a prueba de manipulaciones. Evidencia en la que puede confiar.
VEX: Contexto para vulnerabilidades
No todos los CVE le afectan. Las declaraciones VEX (Vulnerability Exploitability eXchange) permiten a los proveedores y a su propio análisis decir qué vulnerabilidades realmente importan para su implementación específica.
Afectados
No afectado
Fijo
Bajo investigación
VEX elimina el ruido: un CVE en una biblioteca que no usas no es tu problema. Stella aplica declaraciones VEX automáticamente para centrar su atención en lo que importa.
K4 Belnap Lattice: Resolución inteligente de conflictos
Cuando varias fuentes VEX no están de acuerdo, Stella utiliza la lógica de cuatro valores de Belnap para calcular el estado definitivo. Los conflictos se vuelven visibles, no ocultos.
⊥
Desconocido
Aún no hay información. Estado predeterminado antes de que se aplique cualquier declaración VEX.
T
Afectados
Al menos un emisor dice que esta vulnerabilidad le afecta.
F
No afectado
Al menos un emisor dice que no está afectado.
⊤
Conflicto
Varios emisores no están de acuerdo. Requiere revisión o anulación de una autoridad superior.
El proveedor dice "no afectado", pero su sonda de tiempo de ejecución vio la función llamada. Resultado: Conflicto (⊤): el desacuerdo es visible, no suprimido silenciosamente.
Sin supresión silenciosa. Sin suposiciones ocultas. La incertidumbre se rastrea y sale a la luz.
Multifuente VEX Consenso
Los proveedores, distribuidores y su propio equipo de seguridad pueden publicar declaraciones VEX. Stella los agrega con consenso ponderado.
- Ingiere VEX de proveedores de software, distribuidores de Linux y fuentes internas
- Las fuentes están ponderadas por autoridad: sus evaluaciones internas pueden anular las externas
- Los conflictos desencadenan flujos de trabajo de revisión en lugar de resolverse silenciosamente
Una visión de la verdad
En lugar de hacer malabarismos con hojas de cálculo y correos electrónicos, obtenga una vista única y autorizada de qué vulnerabilidades realmente afectan su lanzamiento.
¿Listo para el cumplimiento práctico de SBOM?
Instale Stella Ops y comience a generar SBOMs listos para auditor con soporte de múltiples fuentes VEX.