Sécurité et divulgation responsable

Signaler une vulnérabilité

E-mail : security@stella-ops.org

PGP: 9BCF 5D1D 6EA9 8F99 24F4 6071 B618 ABAF 7D23 C65D 7A86 77E8 2DE3 7815 6126 F723

Veuillez inclure :

• Impact + composant/version affecté
• Étapes de reproduction ou PoC
• Journaux/captures d'écran pertinents
• Votre préféré calendrier de divulgation

Nous vous en informons dans les 72 heures et vous tenons informés jusqu'à ce qu'un correctif soit publié.

Vérifiez ce que vous exécutez

Clés : /keys/

Vérifier une image de conteneur

cosign verify \
  --key https://stella-ops.org/keys/cosign.pub \
  registry.stella-ops.org/stella-ops/stella-ops:<VERSION>

Vérifiez une archive tar du kit hors ligne + un manifeste signé

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature stella-ops-offline-kit-<DATE>.tgz.sig \
  stella-ops-offline-kit-<DATE>.tgz

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature offline-manifest-<DATE>.json.jws \
  offline-manifest-<DATE>.json

Garanties en service

• Intégrité de la version : Signatures cosignées + DSSE bundles faisant référence à la balise Git exacte
• Chaîne de preuves : Les capsules de décision sont signées et rejouables (voir /evidence/).
• Journaux d'accès : stockés pendant 7 jours, puis ip → sha256(ip)
• Grand livre d'accès JWT : stocke uniquement le hachage de l'ID de jeton (pas d'adresse e-mail/IP)
• Validation du jeton : peut être vérifiée hors ligne à l'aide de clés publiques publiées
• Renforcement du conteneur : non root UID, limites CPU/RAM, prise en charge SELinux/AppArmor
• Parité Air-gap : Kit hors ligne (voir /offline/)

Aucune télémétrie obligatoire

Aucune analyse, tracker, pixel ou JS tiers dans l'interface utilisateur Web. La télémétrie du produit est désactivée par défaut et strictement facultative.

Détails de confidentialité : /privacy/