Доказательства и аудит

Подтвердите каждое решение. Воспроизведите это несколько месяцев спустя.

Капсулы решений запечатывают доказательства, чтобы аудиторы могли проверить любую версию — в автономном режиме, независимо, полностью идентично.

Запросить доступ Читать спецификацию

Что это значит для вашего бизнеса

Доказательства соответствия генерируются автоматически — проверяйте и воспроизводите спустя месяцы, даже в офлайне. Каждое решение о релизе запечатано в подписанной Капсуле Решения, которую аудиторы могут проверить самостоятельно. Decision Capsule?Подписанный экспортируемый пакет доказательств, запечатывающий все входные и выходные данные решения о релизе для офлайн-аудита и детерминированного воспроизведения

Взгляд аудитора: что вы получаете

Экспорт капсулы решения создаёт подписанный пакет с адресацией по содержимому и точными входами и выходами решения релиза.

Точный SBOM?Software Bill of Materials – полный перечень всех пакетов и зависимостей вашего ПО, использованный в сканировании
Замороженные снимки фидов уязвимостей (NVD?National Vulnerability Database – государственный репозиторий США стандартизированных данных об уязвимостях, OSV?Open Source Vulnerabilities – распределённая база данных уязвимостей для open-source-проектов, advisories поставщиков)
Доказательства достижимости (артефакты статических графов вызовов и runtime-трейсы)
Версия политики и lattice-правила для gate
Производное VEX?Vulnerability Exploitability eXchange – машиночитаемые утверждения о том, являются ли уязвимости реально эксплуатируемыми в вашем контексте-заявление с обоснованиями
DSSE?Dead Simple Signing Envelope – простой гибкий стандарт для подписи произвольных данных криптографическими подписями-подписи, покрывающие содержимое капсулы

Источник: Документация по капсулам решений

Что такое пакет доказательств?

Содержимое

Каждая Капсула решения объединяет точный SBOM, замороженные фиды уязвимостей, графы достижимости, версию политики, производный VEX и метаданные одобрений.

Подписание

Подписи DSSE/in-toto делают пакеты защищёнными от подделки. Выберите криптографические профили FIPS-совместимые, ГОСТ Р 34.10, SM2/SM3 или eIDAS-совместимые (валидация зависит от вашего провайдера ключей). Cosign?Инструмент подписи контейнеров проекта Sigstore для подписи и верификации образов и артефактов Sigstore?Open-source-проект, предоставляющий бесплатную инфраструктуру подписи кода и журналов прозрачности для цепочки поставок ПО

Экспорт

Экспортируйте капсулы на любом этапе продвижения. Храните в Evidence Locker с семантикой WORM для сроков хранения по требованиям соответствия.

Воспроизведение

Используйте stella replay, чтобы повторно запустить историческое решение с идентичными входными данными и подтвердить тот же результат.

Пример структуры капсулы

Каждая капсула решения представляет собой автономный каталог с подписанными артефактами:

decision-capsule-20260126-prod-a1b2/
|- manifest.json         # Метаданные капсулы + подписи
|- sbom.cdx.json         # CycloneDX 1.7 SBOM
|- sbom.cdx.json.sig     # DSSE-подпись
|- reachability/
|  |- analysis.json      # Вердикты достижимости
|  |- call-graph.json    # Доказательство статического анализа
|  `- analysis.json.sig  # DSSE-подпись
|- policy/
|  |- rules.rego         # Снимок политики
|  `- verdict.json       # Решение gate + обоснование
|- approvals/
|  `- jsmith.sig         # Подпись человеческого одобрения
`- feeds/
   `- snapshot.json      # Замороженное состояние CVE/advisory

Manifest structure (advanced)

Манифест фиксирует каждый вход и выход по дайджесту, чтобы решение можно было воспроизвести позже. apiVersion: capsule.stellaops.dev/v1 metadata: id: "cap-2025-12-11-abc123" timestamp: "2025-12-11T14:30:00Z" scan_id: "scan-xyz789" inputs: sbom: format: "cyclonedx@1.6" digest: "sha256:..." feeds: - name: "nvd" snapshot: "2025-12-11" digest: "sha256:..." policy: version: "corp-policy@2025-12-01" digest: "sha256:..." outputs: vex: format: "openvex" digest: "sha256:..." signatures: - scheme: "DSSE" profile: "FIPS-aligned" signer: "build-ca@corp"

Манифест фиксирует каждый вход и выход по дайджесту, чтобы решение можно было воспроизвести позже.

apiVersion: capsule.stellaops.dev/v1
metadata:
  id: "cap-2025-12-11-abc123"
  timestamp: "2025-12-11T14:30:00Z"
  scan_id: "scan-xyz789"
inputs:
  sbom:
    format: "cyclonedx@1.6"
    digest: "sha256:..."
  feeds:
    - name: "nvd"
      snapshot: "2025-12-11"
      digest: "sha256:..."
  policy:
    version: "corp-policy@2025-12-01"
    digest: "sha256:..."
outputs:
  vex:
    format: "openvex"
    digest: "sha256:..."
signatures:
  - scheme: "DSSE"
    profile: "FIPS-aligned"
    signer: "build-ca@corp"

Verification commands (step-by-step)

Аудиторы могут проверять подписи, целостность и воспроизводить решения независимо — инфраструктура пакета „Стела“ не требуется. 1 $ cosign verify-blob --key example-capsule.pub --signature example-capsule.sig example-capsule.tar.gz Проверьте подпись примерной капсулы с помощью cosign (демо-ключ) 2 $ tar -xzf example-capsule.tar.gz && stella capsule verify ./decision-capsule-2026-01-20/ Распакуйте капсулу и проверьте дайджесты манифеста 3 $ stella replay ./decision-capsule-2026-01-20/ --offline Воспроизведите решение с замороженными входами Все три команды работают офлайн. Доказательства идут вместе с капсулой.

Аудиторы могут проверять подписи, целостность и воспроизводить решения независимо — инфраструктура пакета „Стела“ не требуется.

1

$ cosign verify-blob --key example-capsule.pub --signature example-capsule.sig example-capsule.tar.gz
Проверьте подпись примерной капсулы с помощью cosign (демо-ключ)
2

$ tar -xzf example-capsule.tar.gz && stella capsule verify ./decision-capsule-2026-01-20/
Распакуйте капсулу и проверьте дайджесты манифеста
3

$ stella replay ./decision-capsule-2026-01-20/ --offline
Воспроизведите решение с замороженными входами

Все три команды работают офлайн. Доказательства идут вместе с капсулой.

Попробуйте: примерная Капсула решения

Скачайте обезличенную примерную капсулу, чтобы изучить структуру и выполнить команды проверки локально.

Содержит: SBOM, доказательство достижимости, снимок политики, примерные одобрения. Подпись и публичный ключ для локальной проверки.

Скачать примерную капсулу Скачать подпись Скачать публичный ключ

Цепочка доказательств

Как доказательства проходят через пакет „Стела“

Что содержит Капсула решения

Дайджест артефакта

SHA-256 адрес содержимого

Подписано

Снимок SBOM

CycloneDX 1.7 / SPDX 3.0

Подписано

Доказательства достижимости

Граф + аттестации рёбер

Подписано

Состояние VEX

Решётчато-разрешённый вердикт

Подписано

Версия политики

Rego/DSL с адресацией по содержимому

Подписано

Одобрения

Подписанные записи одобрений

Подписано

Рабочий процесс соответствия

Аудиторы могут воспроизвести решения месяцы спустя

1
Аудитор спрашивает
"Покажите мне доказательство, что эта CVE была обработана правильно в январском релизе."
2
Оператор экспортирует
stella capsule export jan-release-capsule.yaml --format audit-bundle
3
Пакет верифицирует
Аудитор выполняет stella capsule verify jan-release-capsule.yaml — подписи проверяются, дайджесты совпадают.
4
Воспроизведение подтверждает
stella replay jan-release-capsule.yaml производит идентичный вердикт с замороженными входными данными.

Детерминированный повтор

Выполните то же решение 6 месяцев спустя — те же замороженные входные данные выдадут идентичный вердикт. Сеть не требуется, нет дрейфа состояния, нет двусмысленности.

Проверьте подписи капсулы с закреплёнными ключами.
Подтвердите, что дайджесты SBOM?Software Bill of Materials – полный перечень всех пакетов и зависимостей вашего ПО и фида совпадают с манифестом.
Воспроизведите с тем же policy bundle и входами достижимости.
Экспортируйте аудиторский пакет с вердиктом, VEX?Vulnerability Exploitability eXchange – машиночитаемые утверждения о том, являются ли уязвимости реально эксплуатируемыми в вашем контексте и доказательствами.

Терминал

$ stella replay capsule.json --verify
Воспроизведение решения от 2025-07-15T14:32:00Z...
Версия политики: sha256:e5f6g7h8... (совпадает)
Снимок фида:  sha256:i9j0k1l2... (совпадает)
Вердикт: РАЗРЕШЕНО (идентично оригиналу)
Проверка детерминизма: ПРОЙДЕНО

Форматы и совместимость

SBOM

CycloneDX 1.7 и SPDX 3.0.1. Импортируйте из Trivy, Grype, Syft или создавайте самостоятельно.

VEX

OpenVEX и CSAF 2.0. Разрешение решетки с несколькими выпусками и обнаружение конфликтов.

SARIF

Экспорт формата обмена результатами статического анализа для интеграции IDE и CI.

Air-Gapped Проверка

Аудиторы проверяют подписи, проверяют целостность дайджеста и воспроизводят решения без доступа к сети. Весь криптографический материал перемещается вместе с капсулой.

Терминал

$ stella capsule verify decision-capsule.yaml --offline
Проверка подписи: ПРОЙДЕНО (ECDSA-P256)
Совпадение дайджеста:           ПРОЙДЕНО (sha256:abc123...)
Версия политики:         ВАЛИДНО (v3.2.1)
Целостность доказательств:     ВСЕ КОМПОНЕНТЫ ПОДПИСАНЫ
Вердикт:                РАЗРЕШЕНО — сеть не требуется

Статус независимых артефактов доверия

Покупатели, оценивающие развертывание производства, обычно запрашивают стороннюю проверку в дополнение к собственным доказательствам. В этом разделе показано, что уже общедоступно, а что еще находится в разработке.

Публично сейчас

Ключи проверки, примеры подписанных капсул, детерминированные команды воспроизведения и экспортируемые структуры доказательств общедоступны.

В ходе выполнения

Резюме сторонних оценок и названные пилотные тематические исследования еще не публикуются в качестве общедоступных материалов.

Для должной осмотрительности

Пакет безопасности, доказательства архитектуры и обсуждения пилотных рекомендаций могут быть определены во время оценки для команд, имеющих шлюзы закупок.

Начните с Ключи проверки, Пакет безопасности, и Контакт запросить материалы обзора предприятия.

Готовы сделать релизы аудируемыми?

Запросить доступ Как это работает

Читать спецификацию Капсулы решения · Смотреть все функции