Décisions de sécurité

Des décisions que vous pouvez prouver et rejouer

Contrôlez les versions avec évaluation de politique, résolution VEX par treillis et verdicts déterministes. Chaque décision exporte une capsule signée et rejouable.

Demander l'acc?s Voir la documentation

Le problème avec les workflows de sécurité classiques

Les résultats des scanners s'accumulent. Les exceptions s'empilent. Six mois plus tard, personne ne peut expliquer pourquoi une CVE a été marquée « acceptable ».

Workflow de sécurité classique

  • VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte comme simple suppression — « marquer comme non affecté »
  • Déclarations conflictuelles ignorées, non résolues
  • Décisions dispersées entre tickets et e-mails
  • Aucun moyen de prouver ce qui était connu au moment de la décision

Décisions Stella

  • VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte comme état — les conflits sont détectés et suivis
  • Consensus pondéré par la confiance avec justification
  • Décisions scellées dans des capsules exportables
  • Rejeu déterministe avec entrées figées

Moteur de consensus VEX

Pas une simple suppression. Un treillis à 5 états avec pondération par la confiance, détection de conflits et justification exportable.

Treillis VEX à 5 états

Les déclarations VEX se résolvent via un treillis pondéré par la confiance. Les conflits sont un état de première classe, pas des erreurs cachées.

Corrigé

Non affecté

Affecté

Conflit

Inconnu

Scoring par vecteur de confiance

9 facteurs : autorité de l'émetteur, spécificité, fraîcheur, et plus.

Détection de conflits

Les affirmations contradictoires sont signalées pour résolution, pas fusionnées silencieusement.

Décroissance de fraîcheur

Demi-vie de 14 jours pour que les affirmations obsolètes perdent leur influence.

7 fournisseurs CSAF

RedHat, Ubuntu, Oracle, MSRC, Cisco, SUSE, VMware.

Export de justification

Explicabilité de niveau audit pour chaque consensus.

Interface studio de conflits

Résolution visuelle pour les affirmations VEX conflictuelles.

Moteur de politique

10+ types de points de contrôle avec logique quadrivalente Belnap K4. Vrai, Faux, Les deux et Aucun sont tous des états valides.

Types de points de contrôle de politique

  • Points de contrôle de seuil de sévérité (CVSSCommon Vulnerability Scoring System – une note de gravité de 0 à 10 indiquant la criticité d'une vulnérabilité, EPSSExploit Prediction Scoring System – un score de probabilité (0–100 %) prédisant la probabilité qu'une vulnérabilité soit exploitée)
  • Exigence d'atteignabilité pour les critiques
  • Point de contrôle de budget d'inconnus — incertitude suivie
  • Point de contrôle de quota de sources — application du plafond de 60%
  • Intégration OPAOpen Policy Agent — un moteur de politiques open-source pour l'application granulaire et contextuelle des politiques sur l'ensemble de la pile/Rego pour règles personnalisées

Scoring de risque

  • CVSSCommon Vulnerability Scoring System – une note de gravité de 0 à 10 indiquant la criticité d'une vulnérabilité v4.0, probabilité EPSSExploit Prediction Scoring System – un score de probabilité (0–100 %) prédisant la probabilité qu'une vulnérabilité soit exploitée v4
  • Détection KEVKnown Exploited Vulnerabilities – catalogue de CISA des vulnérabilités activement exploitées (vulnérabilités exploitées connues)
  • Multiplicateurs de points de contrôle sensibles à l'atteignabilité
  • Profils de scoring personnalisés
  • Simulation de politique avant déploiement

Capsules de décision

Chaque évaluation de point de contrôle produit un bundle de preuves scellé et exportable. Six mois plus tard, rejouez la décision exacte.

Contenu d'une capsule

Digest de l'artefact (SHA-256)
Snapshot SBOMSoftware Bill of Materials – une liste complète de tous les packages et dépendances de votre logiciel
Preuves d'atteignabilité
État VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte (résolu par treillis)
Version de la politique + verdict
Signatures d'approbation
Terminal
$ stella replay decision-capsule-2026-01-15.yaml --verify
Rejeu de la décision du 2026-01-15T14:32:00Z...
Version de la politique : sha256:e5f6g7h8... (correspond)
Snapshot du feed :  sha256:i9j0k1l2... (correspond)
État VEX :      sha256:m3n4o5p6... (correspond)
Verdict :  ALLOW (identique à l’original)
Contrôle de déterminisme : PASSED

Mêmes entrées → mêmes sorties. Prêt pour l’audit.

Attestation et signature

Infrastructure de signature

  • Signature d'enveloppe DSSEDead Simple Signing Envelope – un standard simple et flexible pour signer des données arbitraires avec des signatures cryptographiques avec in-totoUn cadre pour sécuriser la chaîne d'approvisionnement logicielle en vérifiant que chaque étape a été exécutée comme prévu et par des acteurs autorisés
  • Signature sans clé via SigstoreProjet open source fournissant une infrastructure gratuite de signature de code et de journaux de transparence pour la chaîne d'approvisionnement logicielle/Fulcio
  • Intégration du log de transparence RekorJournal de transparence de Sigstore fournissant un registre immuable et inviolable des signatures logicielles
  • Service de rotation de clés avec support HSM

25+ types de prédicats

  • Prédicats SBOMSoftware Bill of Materials – une liste complète de tous les packages et dépendances de votre logiciel, VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte, atteignabilité
  • Prédicats de décision de politique
  • Prédicats d'approbation humaine
  • Provenance SLSASupply-chain Levels for Software Artifacts — un cadre garantissant l'intégrité des artefacts logiciels tout au long de la chaîne d'approvisionnement v1.0

Ce qui fait la différence

Verdicts explicables

Chaque décision inclut des traces de justification et des décompositions de score.

Les inconnus comme état

L'incertitude est suivie et budgétée, pas cachée ou ignorée.

Rejeu déterministe

Mêmes entrées, mêmes sorties. Prouvez toute décision des mois plus tard.

Prêt pour des décisions que vous pouvez prouver ?

Commencez par la configuration des politiques et votre première évaluation de point de contrôle.

Demander l'acc?s Voir la documentation

Orchestration des releases · Moteur de preuves · Preuves et audit