SPDX 3.0.1
La dernière version ISO/IEC 5962 avec métadonnées complètes du fournisseur et expressions de licence SPDX.
Première classe SBOM et VEX
Sachez ce qu'il y a dans vos conteneurs
Générez des SBOM conformes aux normes de l'industrie et appliquez des instructions VEX provenant de plusieurs sources, avec une résolution intelligente des conflits et une vérification hors ligne intégrées.
Ce que cela signifie pour votre entreprise
Sachez exactement ce que contient chaque release et quels avis s'appliquent. Stella génère des SBOMs signés et résout les déclarations VEX contradictoires pour que les équipes de conformité obtiennent une vue claire. VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte
Formats standards de l'industrie
Stella génère des SBOM dans les formats attendus par vos auditeurs et vos équipes de conformité, avec les métadonnées et la provenance complètes des composants.
CycloneDX 1.7
OWASP CycloneDX avec prise en charge intégrée de VEX et extensions de graphiques de dépendance.
Générer, vérifier et publier SBOMs des CLI
$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwritePourquoi Matters
SBOM deviennent obligatoires. Stella les rend pratiques.
Résultats reproductibles
Même image, même SBOM — à chaque fois. Les auditeurs peuvent vérifier vos résultats de manière indépendante.
Fonctionne hors ligne
Générer et vérifier des SBOM dans des environnements isolés. Aucun appel externe requis.
Compliance Ready
Prend en charge EO 14028, l’EU CRA et d’autres exigences de sécurité de la chaîne d’approvisionnement avec des SBOM signés et vérifiables.
Cryptographiquement Signé
Chaque SBOM est signé et inviolable. Des preuves auxquelles vous pouvez faire confiance.
VEX : Contexte des vulnérabilités
Tous les CVE ne vous affectent pas. Les déclarations VEX (Vulnerability Exploitability eXchange) permettent aux fournisseurs et à votre propre analyse de déterminer quelles vulnérabilités sont réellement importantes pour votre déploiement spécifique.
Affecté
Non affecté
Corrigé
En cours d'enquête
VEX coupe le bruit : un CVE dans une bibliothèque que vous n'utilisez pas n'est pas votre problème. Stella applique automatiquement les instructions VEX pour concentrer votre attention sur ce qui compte.
Ce que cela signifie pour votre entreprise
Lorsque les scanners sont en désaccord, consultez toutes les preuves au lieu d'un remplacement silencieux. Stella met en évidence les conflits pour que votre équipe prenne des décisions éclairées — moins de vulnérabilités manquées, moins de remédiation inutile.
How conflict states are computed (advanced)
Lorsque plusieurs sources VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte ne sont pas d'accord, Stella utilise la logique à quatre valeurs de Belnap pour calculer l'état définitif. Les conflits deviennent visibles et non masqués. ⊥ Inconnu Aucune information pour l'instant. État par défaut avant l'application de toute instruction VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte. T Affecté Au moins un émetteur affirme que cette vulnérabilité vous affecte. F Non affecté Au moins un émetteur indique que vous n'êtes pas concerné. ⊤ Conflit Plusieurs émetteurs ne sont pas d'accord. Nécessite un examen ou un remplacement par une autorité supérieure. Le fournisseur indique « non affecté », mais votre sonde d'exécution a vu la fonction appelée ? Résultat : Conflit (⊤) – le désaccord est visible, et non silencieusement supprimé. Pas de suppression silencieuse. Aucune hypothèse cachée. L'incertitude est suivie et mise en évidence.Read more
How conflict states are computed (advanced)
Lorsque plusieurs sources
Read moreVEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte ne sont pas d'accord, Stella utilise la logique à quatre valeurs de Belnap pour calculer l'état définitif. Les conflits deviennent visibles et non masqués. ⊥ Inconnu Aucune information pour l'instant. État par défaut avant l'application de toute instruction VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte. T Affecté Au moins un émetteur affirme que cette vulnérabilité vous affecte. F Non affecté Au moins un émetteur indique que vous n'êtes pas concerné. ⊤ Conflit Plusieurs émetteurs ne sont pas d'accord. Nécessite un examen ou un remplacement par une autorité supérieure. Le fournisseur indique « non affecté », mais votre sonde d'exécution a vu la fonction appelée ? Résultat : Conflit (⊤) – le désaccord est visible, et non silencieusement supprimé. Pas de suppression silencieuse. Aucune hypothèse cachée. L'incertitude est suivie et mise en évidence.Lorsque plusieurs sources VEX ne sont pas d'accord, Stella utilise la logique à quatre valeurs de Belnap pour calculer l'état définitif. Les conflits deviennent visibles et non masqués.
⊥
Inconnu
Aucune information pour l'instant. État par défaut avant l'application de toute instruction VEX.
T
Affecté
Au moins un émetteur affirme que cette vulnérabilité vous affecte.
F
Non affecté
Au moins un émetteur indique que vous n'êtes pas concerné.
⊤
Conflit
Plusieurs émetteurs ne sont pas d'accord. Nécessite un examen ou un remplacement par une autorité supérieure.
Le fournisseur indique « non affecté », mais votre sonde d'exécution a vu la fonction appelée ? Résultat : Conflit (⊤) – le désaccord est visible, et non silencieusement supprimé.
Pas de suppression silencieuse. Aucune hypothèse cachée. L'incertitude est suivie et mise en évidence.
Multi-source VEX aggregation (advanced)
Les fournisseurs, les distributeurs et votre propre équipe de sécurité peuvent tous publier des déclarations VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte. Stella les regroupe avec un consensus pondéré. Ingérez VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte provenant d'éditeurs de logiciels, de distributeurs Linux et de sources internes Les sources sont pondérées par autorité — vos évaluations internes peuvent remplacer les évaluations externes Les conflits déclenchent des workflows de révision plutôt que d'être résolus en silence Une vue de Vérité Au lieu de jongler avec les feuilles de calcul et les e-mails, obtenez une vue unique faisant autorité sur les vulnérabilités qui affectent réellement votre release.Read more
Multi-source VEX aggregation (advanced)
Les fournisseurs, les distributeurs et votre propre équipe de sécurité peuvent tous publier des déclarations
Read moreVEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte. Stella les regroupe avec un consensus pondéré. Ingérez VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexte provenant d'éditeurs de logiciels, de distributeurs Linux et de sources internes Les sources sont pondérées par autorité — vos évaluations internes peuvent remplacer les évaluations externes Les conflits déclenchent des workflows de révision plutôt que d'être résolus en silence Une vue de Vérité Au lieu de jongler avec les feuilles de calcul et les e-mails, obtenez une vue unique faisant autorité sur les vulnérabilités qui affectent réellement votre release.Les fournisseurs, les distributeurs et votre propre équipe de sécurité peuvent tous publier des déclarations VEX. Stella les regroupe avec un consensus pondéré.
- Ingérez
VEXVulnerability Exploitability eXchange – déclarations lisibles par machine indiquant si les vulnérabilités sont réellement exploitables dans votre contexteprovenant d'éditeurs de logiciels, de distributeurs Linux et de sources internes - Les sources sont pondérées par autorité — vos évaluations internes peuvent remplacer les évaluations externes
- Les conflits déclenchent des workflows de révision plutôt que d'être résolus en silence
Une vue de Vérité
Au lieu de jongler avec les feuilles de calcul et les e-mails, obtenez une vue unique faisant autorité sur les vulnérabilités qui affectent réellement votre release.
Prêt pour la conformité pratique SBOM ?
Installez Stella Ops et commencez à générer des SBOM prêts pour l'auditeur avec la prise en charge multi-source de VEX.