Preuves et audit

Prouvez chaque décision. Rejouez-le des mois plus tard.

Les capsules de décision scellent les preuves afin que les auditeurs puissent vérifier toute version - hors ligne, indépendamment, bit pour bit identique.

Demander l'acc?s Lire la spécification

Ce que cela signifie pour votre entreprise

Preuves de conformité générées automatiquement — vérifiez et rejouez des mois plus tard, même hors ligne. Chaque décision de release est scellée dans une Capsule de Décision signée que les auditeurs peuvent vérifier indépendamment. Decision CapsuleUn ensemble de preuves signé et exportable qui scelle chaque entrée et sortie d'une décision de release pour l'audit hors ligne et la relecture déterministe

Vue auditeur : ce que vous recevez

Exporter une capsule de décision produit un bundle signé et adressé par contenu avec les entrées et sorties exactes de la décision de release.

  • SBOMSoftware Bill of Materials – une liste complète de tous les packages et dépendances de votre logiciel exact utilisé pour le scan
  • Snapshots figés des feeds de vulnérabilités (NVDNational Vulnerability Database – le référentiel du gouvernement américain de données de vulnérabilités, OSVOpen Source Vulnerabilities – une base de données distribuée de vulnérabilités pour les projets open source, avis fournisseurs)
  • Preuves d’atteignabilité (artefacts de graphes d’appels statiques et traces runtime)
  • Version de la politique et règles de treillis utilisées pour le gate
  • Déclaration VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte dérivée avec justifications
  • Signatures DSSEDead Simple Signing Envelope – un standard simple et flexible pour signer des données arbitraires avec des signatures cryptographiques couvrant le contenu de la capsule

Source : Documentation des capsules de décision

Qu'est-ce qu'un paquet de preuves ?

Contenu

Chaque Capsule de Décision regroupe le SBOM exact, les flux de vulnérabilités figés, les graphes d'atteignabilité, la version de la politique, le VEX dérivé et les métadonnées d'approbation.

Signature

Les signatures DSSE/in-toto rendent les paquets inviolables. Choisissez des profils crypto alignés sur FIPS, GOST R 34.10, SM2/SM3 ou compatibles eIDAS (la validation dépend de votre fournisseur de clés). CosignOutil de signature de conteneurs du projet Sigstore pour signer et vérifier les images de conteneurs et artefacts SigstoreProjet open source fournissant une infrastructure gratuite de signature de code et de journaux de transparence pour la chaîne d'approvisionnement logicielle

Exportation

Exportez les capsules à chaque étape de promotion. Stockez dans Evidence Locker avec sémantique WORM pour les périodes de rétention de conformité.

Rejeu

Utilisez stella replay pour rejouer une decision historique avec des entrees identiques et verifier le meme resultat.

Exemple de structure de capsule

Chaque capsule de décision est un répertoire autonome avec des artefacts signés :

decision-capsule-20260126-prod-a1b2/
|- manifest.json         # Métadonnées de la capsule + signatures
|- sbom.cdx.json         # SBOM CycloneDX 1.7
|- sbom.cdx.json.sig     # Signature DSSE
|- reachability/
|  |- analysis.json      # Verdicts d’atteignabilité
|  |- call-graph.json    # Preuve d’analyse statique
|  `- analysis.json.sig  # Signature DSSE
|- policy/
|  |- rules.rego         # Snapshot de politique
|  `- verdict.json       # Décision du gate + justification
|- approvals/
|  `- jsmith.sig         # Signature d’approbation humaine
`- feeds/
   `- snapshot.json      # État figé des CVE/avis

Manifest structure (advanced)

Le manifeste épingle chaque entrée et sortie par digest afin de rejouer la décision plus tard. apiVersion: capsule.stellaops.dev/v1 metadata: id: "cap-2025-12-11-abc123" timestamp: "2025-12-11T14:30:00Z" scan_id: "scan-xyz789" inputs: sbom: format: "cyclonedx@1.6" digest: "sha256:..." feeds: - name: "nvd" snapshot: "2025-12-11" digest: "sha256:..." policy: version: "corp-policy@2025-12-01" digest: "sha256:..." outputs: vex: format: "openvex" digest: "sha256:..." signatures: - scheme: "DSSE" profile: "FIPS-aligned" signer: "build-ca@corp"
Read more

Le manifeste épingle chaque entrée et sortie par digest afin de rejouer la décision plus tard.

apiVersion: capsule.stellaops.dev/v1
metadata:
  id: "cap-2025-12-11-abc123"
  timestamp: "2025-12-11T14:30:00Z"
  scan_id: "scan-xyz789"
inputs:
  sbom:
    format: "cyclonedx@1.6"
    digest: "sha256:..."
  feeds:
    - name: "nvd"
      snapshot: "2025-12-11"
      digest: "sha256:..."
  policy:
    version: "corp-policy@2025-12-01"
    digest: "sha256:..."
outputs:
  vex:
    format: "openvex"
    digest: "sha256:..."
signatures:
  - scheme: "DSSE"
    profile: "FIPS-aligned"
    signer: "build-ca@corp"

Verification commands (step-by-step)

Les auditeurs peuvent vérifier les signatures, contrôler l’intégrité et rejouer les décisions de manière indépendante — aucune infrastructure Stella requise. 1 $ cosign verify-blob --key example-capsule.pub --signature example-capsule.sig example-capsule.tar.gz Vérifier la signature de la capsule d’exemple avec cosign (clé de démonstration) 2 $ tar -xzf example-capsule.tar.gz && stella capsule verify ./decision-capsule-2026-01-20/ Extraire la capsule et vérifier les digests du manifeste 3 $ stella replay ./decision-capsule-2026-01-20/ --offline Rejouer la décision avec des entrées figées Les trois commandes fonctionnent hors ligne. Les preuves voyagent avec la capsule.
Read more

Les auditeurs peuvent vérifier les signatures, contrôler l’intégrité et rejouer les décisions de manière indépendante — aucune infrastructure Stella requise.

  1. 1
    $ cosign verify-blob --key example-capsule.pub --signature example-capsule.sig example-capsule.tar.gz

    Vérifier la signature de la capsule d’exemple avec cosign (clé de démonstration)

  2. 2
    $ tar -xzf example-capsule.tar.gz && stella capsule verify ./decision-capsule-2026-01-20/

    Extraire la capsule et vérifier les digests du manifeste

  3. 3
    $ stella replay ./decision-capsule-2026-01-20/ --offline

    Rejouer la décision avec des entrées figées

Les trois commandes fonctionnent hors ligne. Les preuves voyagent avec la capsule.

Essayez : Capsule de décision d’exemple

Téléchargez une capsule d’exemple anonymisée pour explorer la structure et exécuter les commandes de vérification localement.

Contient : SBOM, preuve d’atteignabilité, instantané de politique, approbations simulées. Signature et clé publique incluses pour la vérification locale.

Télécharger la capsule d’exemple Télécharger la signature Télécharger la clé publique

Chaîne de preuves

Comment les preuves traversent Stella
Flux de preuvesImageSBOMAtteignabilitéVerdict de politiqueSigné par DSSESigné par DSSESigné par DSSE

Contenu d'une Capsule de Décision

Digest de l'artefact

Adresse de contenu SHA-256

Signé

Snapshot SBOM

CycloneDX 1.7 / SPDX 3.0

Signé

Preuves d'atteignabilité

Graphe + attestations d'arêtes

Signé

État VEX

Verdict résolu par treillis

Signé

Version de politique

Rego/DSL adressé par contenu

Signé

Approbations

Enregistrements d'approbation signés

Signé

Workflow de conformité

Les auditeurs peuvent rejouer les décisions des mois plus tard
Flux de rejeu pour auditCapsule de décisionil y a 6 moisstella replayMême verdictidentique bit à bit
  1. 1

    L'auditeur demande

    "Montrez-moi la preuve que cette CVE a été traitée correctement dans la release de janvier."

  2. 2

    L'opérateur exporte

    export de capsules Stella jan-release-capsule.yaml --format audit-bundle

  3. 3

    Le paquet vérifie

    L'auditeur exécute stella capsule verify jan-release-capsule.yaml — les signatures sont vérifiées, les digests correspondent.

  4. 4

    Le rejeu confirme

    stella replay jan-release-capsule.yaml produit un verdict identique avec les entrées figées.

Rejeu déterministe

Exécutez la même décision 6 mois plus tard : les mêmes entrées gelées produisent un verdict identique. Aucun réseau requis, aucune dérive d'état, aucune ambiguïté.

  • Vérifier les signatures de la capsule avec les clés épinglées.
  • Confirmer que les digests du SBOMSoftware Bill of Materials – une liste complète de tous les packages et dépendances de votre logiciel et du feed correspondent au manifeste.
  • Rejouer avec le même bundle de politiques et les entrées d’atteignabilité.
  • Exporter le bundle d’audit avec verdict, VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte et preuves.
Terminal
$ stella replay capsule.json --verify
Rejeu de la décision du 2025-07-15T14:32:00Z...
Version de la politique : sha256:e5f6g7h8... (correspond)
Snapshot du feed :  sha256:i9j0k1l2... (correspond)
Verdict : ALLOW (identique à l’original)
Contrôle de déterminisme : PASS

Formats et interopérabilité

SBOM

CycloneDX 1.7 et SPDX 3.0.1. Importez depuis Trivy, Grype, Syft ou générez de manière native.

VEX

OpenVEX et CSAF 2.0. Résolution de réseau multi-émetteurs avec détection des conflits.

SARIF

Exportation au format d'échange de résultats d'analyse statique pour l'intégration IDE et CI.

Vérification à espacement d'air

Les auditeurs vérifient les signatures, vérifient l'intégrité du digest et rejouent les décisions sans aucun accès au réseau. Tout le matériel cryptographique voyage avec la capsule.

Terminal
$ stella capsule verify decision-capsule.yaml --offline
Vérification de signature : PASS (ECDSA-P256)
Correspondance de digest :           PASS (sha256:abc123...)
Version de la politique :         VALID (v3.2.1)
Intégrité des preuves :     TOUS LES COMPOSANTS SIGNÉS
Verdict :                ALLOW — pas de réseau requis

Independent trust artifacts status

Buyers evaluating production rollout usually ask for third-party validation in addition to first-party proofs. This section shows what is already public and what is still in-progress.

Public now

Verification keys, signed capsule examples, deterministic replay commands, and exportable evidence structures are publicly available.

In progress

Third-party assessment summaries and named pilot case studies are not yet published as public artifacts.

For due diligence

Security pack, architecture evidence, and pilot-reference discussions can be scoped during evaluation for teams with procurement gates.

Start with Verification Keys, Security Pack, and Contact to request enterprise review materials.

Prêt à rendre les releases auditables ?

Demander l'acc?s Comment ça marche

Lire la spécification des Capsules de Décision · Voir toutes les fonctionnalités