Seguridad y divulgación responsable

Stella Ops Suite está diseñado para una gobernanza de releases verificable:

  • Los releases están firmados conjuntamente
  • Las exportaciones de evidencia están certificadas por DSSEDead Simple Signing Envelope – un estándar simple y flexible para firmar datos arbitrarios con firmas criptográficas
  • Las políticas y decisiones pueden reproducirse de forma determinista para auditoría

Pack de seguridad y cumplimiento

¿Necesitas documentación de seguridad lista para compras? El pack cubre arquitectura, perfiles criptográficos, registro/retención y artefactos de verificación.

Solicitar el Pack de seguridad Claves de verificación

Incluye cuestionarios (SIG/CAIQ), guías de hardening, SBOM/proveniencia y pasos de verificación.

Reportar una vulnerabilidad

Correo electrónico: security@stella-ops.org

PGP: 9BCF 5D1D 6EA9 8F99 24F4 6071 B618 ABAF 7D23 C65D 7A86 77E8 2DE3 7815 6126 F723

Por favor incluye:

  • Impacto + componente/versión afectada
  • Pasos de reproducción o PoC
  • Registros/capturas de pantalla relevantes
  • Tu cronograma de divulgación preferido

Acusamos recibo en un plazo de 72 horas y te mantenemos informado hasta que se publique una solución.

Verifica lo que ejecutas

Claves: /keys/

Verificar una imagen de contenedor

cosign verify \
  --key https://stella-ops.org/keys/cosign.pub \
  registry.stella-ops.org/stella-ops/stella-ops:<VERSION>

Verificar un tarball del Kit Offline + manifiesto firmado

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature stella-ops-offline-kit-<DATE>.tgz.sig \
  stella-ops-offline-kit-<DATE>.tgz

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature offline-manifest-<DATE>.json.jws \
  offline-manifest-<DATE>.json

Protecciones en el servicio

  • Integridad del release: co-firmas + paquetes DSSEDead Simple Signing Envelope – un estándar simple y flexible para firmar datos arbitrarios con firmas criptográficas que hacen referencia a la etiqueta Git exacta
  • Cadena de evidencia: las cápsulas de decisión están firmadas y se pueden reproducir (consulta /evidence/).
  • Registros de acceso: almacenados durante 7 días, luego ip → sha256(ip)
  • Registro de tokens JWT: almacena solo el hash del ID del token (sin correo electrónico/IP)
  • Validación de token: se puede verificar sin conexión usando claves públicas publicadas
  • Hardening de contenedores: UID no-root, límites de CPU/RAM, compatibilidad con SELinux/AppArmor
  • Paridad air-gap: kit sin conexión (consulta /offline/)

No hay telemetría obligatoria

Sin analítica, rastreadores, píxeles ni JS de terceros en la interfaz web. La telemetría del producto está deshabilitada por defecto y es estrictamente voluntaria.

Detalles de privacidad: /privacy/