Opérations et déploiement
Déployez partout. Prouvez tout.
Support de première classe pour Docker, Compose, ECS, Nomad et SSH/WinRM. Tous les déploiements sont sans agent par conception (l'image Docker est le runtime). Fonctionnement 100% hors ligne avec profils crypto souverains.
Ce que cela signifie pour votre entreprise
Déployez sur n'importe quel serveur Linux ou Windows sans Kubernetes, agents ni dépendances cloud. Stella gère les rollbacks, la promotion canary et l'export de preuves pour chaque cible.
Ce que vous opérez ici
Analyse d'images
génération SBOM, correspondance CVE, gestion des instructions VEX pour chaque image de conteneur.
Filtrage d'atteignabilité
Analyse statique, manifeste et d’exécution pour séparer les risques exploitables des risques théoriques.
Promotion de la version
Déplacez les images entre les environnements via des portes de stratégie avec une traçabilité complète.
Livraison progressive
Tests A/B, canary, déploiements blue/green et rollback instantané sur les cibles.
Preuve export
Les capsules de décision regroupent toutes les entrées, politiques et verdicts pour l'audit et la conformité.
Fonctionnement hors ligne
Les sites air-gapped recoivent des kits de mise a jour signes et conservent le controle des releases sans acces Internet.
Non-Kubernetes en priorité
La plupart des outils CD traitent le non-Kubernetes comme une arrière-pensée. Stella le traite comme cas d'utilisation principal — et toutes les cibles sont sans agent par conception.
Hôte Docker
Déploiement direct de conteneurs vers les hôtes Docker.
Docker Compose
Déploiement d'applications multi-conteneurs.
AWS ECS
Déploiements de tâches ECS et Fargate.
HashiCorp Nomad
Déploiements et mises à jour de jobs Nomad.
Cibles SSH
Cibles Linux/Unix via SSH.
Cibles WinRM
Cibles Windows via WinRM.
Cibles de déploiement illimitées à tous les niveaux tarifaires
Identite de release digest-first
Chaque version est identifiée par son digest de contenu, et non par une balise mutable. Cela garantit que ce qui a été analysé est ce qui est déployé, et ce qui est audité est ce qui a réellement été exécuté.
Identité immuable
Les digests sha256 garantissent que l'artefact promu est identique en octets à l'artefact analysé et approuvé.
Chaîne de provenance
Chaque promotion enregistre le digest de la source, la version de la politique et la preuve d'approbation dans une attestation signée.
Modèles de déploiement
Tests A/B
Acheminez un pourcentage du trafic vers la nouvelle version. Comparez les métriques avant de vous engager.
Canary version
Déployez d'abord sur un petit sous-ensemble de cibles. Annulation automatique en cas d'échec du contrôle d'état.
Blue/Green
Exécutez les anciennes et les nouvelles versions en parallèle. Basculez le trafic de manière atomique lorsque vous êtes prêt.
Instantané rollback
Revenir à toute version précédente vérifiée par digest. Piste de preuves préservée pour l'avant et l'arrière.
Fonctionnement 100% hors ligne
Les décisions principales fonctionnent sans dépendances externes. Les flux de vulnérabilités et la vérification des preuves fonctionnent entièrement dans votre périmètre.
Kit de mise à jour hors ligne
Bundle signé avec tout le nécessaire pour le fonctionnement en air-gap.
- → Flux de vulnérabilités depuis 33+ sources
- → Images de conteneurs pour tous les composants
- → Données de provenance et SBOMs
- → Mises à jour delta pour transfert efficace
Aucune sortie externe requise
Chaque opération fonctionne dans les réseaux souverains.
- → Base de données de vulnérabilités locale
- → Vérification de signature hors ligne
- → Rejeu déterministe sans réseau
- → Aucune télémétrie obligatoire (opt-in uniquement)
$ stella offline-kit import stella-ouk-2026-01-20.tar.gz --verify
Vérification de signature du bundle... OK
Import des feeds de vulnérabilités... 33 sources mises à jour
Import des images de conteneur... 12 images chargées
Import des données de provenance... OK
Offline Kit importé avec succès
Snapshot de connaissance : 2026-01-20T00:00:00Z
Prochaine mise à jour recommandée : 2026-01-27Profils crypto souverains
Profils cryptographiques modulables pour la conformité régionale. Choisissez vos algorithmes sans changer votre workflow.
FIPSFederal Information Processing Standards – normes cryptographiques du gouvernement américain pour les systèmes sécurisés · GOSTNormes cryptographiques nationales russes (GOST R 34.10/34.11) requises pour les systèmes gouvernementaux · SM2Norme nationale chinoise de cryptographie à clé publique (suite ShangMi) requise pour les industries réglementées · eIDASElectronic IDentification, Authentication and trust Services – règlement européen pour les signatures électroniques et les services de confiance · PQCCryptographie Post-Quantique – algorithmes cryptographiques conçus pour résister aux attaques des ordinateurs quantiques
| Profil | Algorithmes | Cas d'usage |
|---|---|---|
| Par défaut | Ed25519, ECDSA P-256, SHA-256 | Déploiements standards |
FIPSFederal Information Processing Standards – normes cryptographiques du gouvernement américain pour les systèmes sécurisés 140-2/3 (aligné) | ECDSA P-384, SHA-384 | Fédéral US / FedRAMP |
GOSTNormes cryptographiques nationales russes (GOST R 34.10/34.11) requises pour les systèmes gouvernementaux R 34.10 | GOSTNormes cryptographiques nationales russes (GOST R 34.10/34.11) requises pour les systèmes gouvernementaux R 34.10-2012, Streebog | Conformité région CEI |
SM2Norme nationale chinoise de cryptographie à clé publique (suite ShangMi) requise pour les industries réglementées/SM3 | SM2Norme nationale chinoise de cryptographie à clé publique (suite ShangMi) requise pour les industries réglementées, SM3 | Standards nationaux chinois |
eIDASElectronic IDentification, Authentication and trust Services – règlement européen pour les signatures électroniques et les services de confiance | RSA-PSS, ECDSA (QES) | Signatures compatibles eIDASElectronic IDentification, Authentication and trust Services – règlement européen pour les signatures électroniques et les services de confiance |
| Dilithium | ML-DSA (Dilithium) | Protection post-quantique |
Intégration HSM/PKCS#11
Modules de sécurité matériels pour le stockage des clés et les opérations de signature.
Signature multi-profils
Signez le même artefact avec plusieurs algorithmes pour la conformité multi-juridictionnelle.
Intégration d'infrastructure
HashiCorp Vault
Injection de secrets pour les déploiements.
HashiCorp Consul
Intégration du registre de services.
Registres de conteneurs
Docker Hub, Harbor, ECR, GCR, ACR.
Webhooks SCM
Déclencheurs GitHub, GitLab, Bitbucket.
Notifications
Slack, Teams, e-mail, PagerDuty, OpsGenie.
Système de plugins
Connecteurs personnalisés et étapes de workflow.
Exigences de plateforme
Systèmes d’exploitation pris en charge
- → Ubuntu 20.04, 22.04, 24.04 LTS
- → RHEL/CentOS 8, 9
- → Debian 11, 12
- → Amazon Linux 2, 2023
- → Windows Server 2019, 2022
- → Alpine 3.18+ (containers)
Registres de conteneurs
- → Docker Hub
- → AWS ECR (incl. ECR Public)
- → Google Artifact Registry / GCR
- → Azure Container Registry
- → GitHub Container Registry
- → Harbor, Nexus, JFrog Artifactory
- → Tout registre compatible
OCIOpen Container Initiative — le standard industriel pour les formats d'images de conteneurs et les registres
Guide de montée en charge
- → Jusqu’à 100 environnements par instance
- → Jusqu’à 1 000 cibles par environnement
- → 50 déploiements simultanés
- → 10 000+ scans/mois pris en charge
- → Mise à l’échelle horizontale via mode HA
- → Multi-région fédéré disponible
Contactez les ventes pour des déploiements plus importants
Exigences minimales
4 vCPU, 8 GB RAM, 50 GB de stockage. Docker 20.10+ ou Podman 4.0+.
Recommandé pour la production
8 vCPU, 16 GB RAM, 200 GB SSD. PostgreSQL 14+ pour des déploiements HA.
Architecture de déploiement
Déploiement mono-nœud
Docker Compose pour évaluation et petites équipes.
- 2 vCPU, 2 GiB RAM minimum
- PostgreSQL 16+, Valkey 8.0+
- 10 GiB SSD pour cache et preuves
Déploiement haute disponibilité
Mise à l'échelle horizontale pour les charges de production.
- API et workers multi-réplicas
- Charts Helm Kubernetes disponibles
- Capacité dédiée pour entreprise
Production operations due diligence
Use this checklist to scope operational effort before production rollout. Stella Ops Suite is currently in closed alpha, so most teams run pilot-first and then harden to HA.
| Topology | Control Plane | Data Plane | Typical Use |
|---|---|---|---|
| Pilot | Single-node services with one worker pool | Single Postgres, single object store, single queue/cache | Evaluation and policy tuning |
| Production baseline | Redundant API/control-plane nodes behind LB | Managed Postgres with backups, durable object store, replicated queue/cache | Steady-state release governance |
| HA and regulated | Multi-node control plane across failure domains | HA database, immutable evidence storage, tested restore drills | Critical environments and audit-heavy workloads |
Backup and restore
Define RPO/RTO for Postgres and evidence object storage. Validate restore with signed capsule replay, not only service health checks.
Upgrade and rollback
Promote platform updates by digest between non-production and production. Keep last-known-good digests and runbooks for fast rollback.
Ops evidence
Track change windows, approvers, and exported evidence packs per upgrade so procurement and audit teams can verify operating discipline.
Prêt pour un déploiement souverain ?
Commencez par le guide d'installation ou le kit hors ligne.
Souveraineté et Air-Gap · Orchestration des releases · Toutes les fonctionnalités