Fonctionnalités
Plan de contr?le auditable des releases
Orchestrez SCM, registres, Consul, Vault et le versioning par digest. Les images sont analys?es pour les vuln?rabilit?s, filtr?es par atteignabilit?, et chaque promotion est auditable.
- → Preuves d'atteignabilité signées — pas des suppositions, des chemins d'appels exacts
- → Rejeu déterministe — vérifiez toute décision des mois plus tard
- → Treillis
VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte— les conflits sont un état, pas une suppression
Ce que cela signifie pour votre entreprise
Reduisez les files de triage des CVE atteignables, gardez les verdicts de promotion reproductibles et passez, en audit, de la reconstitution narrative a la verification des signatures et du replay.
Ancrages de preuve
Validez les affirmations avec des Decision Capsules, des exemples de replay et des preuves de flux de bout en bout.
Preuves et audit | Specification Decision Capsule | Fonctionnement
Ce que vous obtenez en 30 minutes
Installer
Configuration Docker Compose
Scanner
SBOM + atteignabilité
Promouvoir
Dev → Staging
Exporter
Capsule de décision
Quatre piliers des releases probantes
SBOM et VEX de première classe
Générer SPDX/CycloneDX SBOMs, ingérez OpenVEX de plusieurs émetteurs, résolvez les conflits avec la logique de treillis K4 — déterministe et compatible hors ligne. SBOMSoftware Bill of Materials – une liste complète de tous les packages et dépendances de votre logiciel VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte
- → Générez des
SBOMSoftware Bill of Materials – une liste complète de tous les packages et dépendances de votre logicielSPDXSoftware Package Data Exchange – un autre format standard ouvert pour les SBOMs, largement utilisé en open source3.0.1 etCycloneDXUn format standard ouvert pour les SBOM utilisé dans toute l'industrie1.7 à partir d’images conteneurs - → Ingérez
OpenVEXUn format standard ouvert pour les déclarations VEX sur l'exploitabilité des vulnérabilitésde plusieurs émetteurs avec résolution de conflits K4 de Belnap - → Associez les
CVECommon Vulnerabilities and Exposures – un identifiant unique pour une vulnérabilité de sécurité publiquement connuede plus de 30 sources d’avis avec des scans warm-path en moins d’une seconde
Atteignabilité comme preuve
L'analyse à trois couches (graphiques d'appels statiques, symboles binaires, sondes eBPF d'exécution) produit des preuves DSSE signées qui éliminent nettement des faux positifs. ReachabilityAnalyse qui prouve si le code vulnérable est réellement appelé par votre application — filtrant les faux positifs du bruit des scanners
- → Analyse en trois couches : graphes d’appels statiques, symboles binaires, sondes
eBPFExtended Berkeley Packet Filter — une technologie du noyau Linux qui exécute des programmes isolés pour une observabilité haute performance et l'analyse en temps d'exécution sans modules noyauen exécution - → Preuves
DSSEDead Simple Signing Envelope – un standard simple et flexible pour signer des données arbitraires avec des signatures cryptographiquessignées — pas des assertions, une évidence vérifiable - → Nettement moins de faux positifs : concentrez-vous sur 12
CVECommon Vulnerabilities and Exposures – un identifiant unique pour une vulnérabilité de sécurité publiquement connueatteignables, pas 487 théoriques
Versionnement digest-first
Les versions sont des ensembles de digests OCI immuables résolus lors de la création – les balises sont des alias, les digests sont la vérité, chaque extraction est détectable par falsification.
- → Les releases sont des ensembles de digests
OCIOpen Container Initiative — le standard industriel pour les formats d'images de conteneurs et les registresimmuables résolus à la création - → Les tags sont des alias, les digests sont la vérité — chaque pull est détectable en cas de falsification
- → Traçabilité complète : savoir exactement quoi a été déployé, où et quand
Déploiement sans agent
Déployez sur des serveurs Linux (SSH) et Windows (WinRM) avec des stratégies canary, rolling ou blue-green — le rollback revient à des digests connus comme fiables.
- → Déployez sur Docker Compose, Swarm, ECS, Nomad ou des hôtes scriptés
- → Exécution via SSH (Linux) et WinRM (Windows) — sans agent par conception.
- → Stratégies canary, rolling et Blue/Green avec rollback instantané
Ce qui rend Stella différente
La plupart des outils fournissent des résultats ou des déploiements. Stella fournit des preuves.
Des preuves, pas des assertions
Chaque décision est étayée par des preuves signées et reproductibles. Les auditeurs peuvent vérifier de façon indépendante — sans dépendance fournisseur.
Non-Kubernetes d’abord
Docker Compose, ECS, Nomad et hôtes scriptés sont des cibles principales — pas un ajout à un design centré K8s.
Rejeu déterministe
Rejouez toute décision 6 mois plus tard avec des entrées figées. Même SBOM, mêmes feeds, même politique — sortie identique bit à bit.
Souverain et hors ligne
Fonctionnement entièrement en air-gap avec bundles de feeds signés. Profils crypto alignés sur FIPS, GOST, SM2/SM3 et compatibles eIDAS (la validation dépend de votre fournisseur de clés). Aucune télémétrie obligatoire ; opt-in uniquement (désactivé par défaut).
Comment Stella se compare
Stella combine l'analyse, la politique et le déploiement dans une seule plate-forme liée aux preuves. Voyez comment cela se compare.
| Outil | Catégorie | Différence clé | |
|---|---|---|---|
| Trivy / Grype | Scanners | Uniquement des résultats — pas d’atteignabilité, pas d’orchestration | Comparer → |
| Snyk | Plateforme SCASoftware Composition Analysis — analyse automatisée des composants tiers et open-source pour les vulnérabilités connues et les risques de licence | SaaS uniquement, pas de rejeu déterministe | Comparer → |
| Octopus Deploy | Plateforme CD | Pas d’analyse de sécurité intégrée ni chaîne de preuves | Comparer → |
| GitHub Actions | CI/CD | Axé CI, pas de couche d’orchestration des releases | Comparer → |
| Harness | Plateforme CD | Centré K8s, support non-Kubernetes limité | Comparer → |
Prêt pour des versions de qualité probante ?
Installer avec Docker Compose et lancez votre première promotion vérifiée.