Часто задаваемые вопросы

Нет. Пакет „Стела“ разработан для сред без Kubernetes как основной сценарий использования.

Мы поддерживаем развёртывания через SSH/WinRM. Они безагентные (Docker-образ выполняет работу).

Сканеры сообщают, что уязвимый пакет существует. Пакет „Стела“ показывает, вызывает ли ваш код его на самом деле.

Мы используем анализ достижимости для отслеживания путей вызовов, что приводит к значительно меньшему количеству ложных срабатываний. Мы также сохраняем полные записи сканирования, которые вы можете воспроизвести спустя месяцы — чего не предлагает ни один сканер.

vs Trivy · vs Snyk · Полное сравнение

Достижимость определяет, вызывает ли ваше приложение на самом деле уязвимый путь кода в зависимости.

Большинство CVE затрагивают пути кода, которые ваше приложение никогда не использует. Пакет „Стела“ анализирует статические графы вызовов, импорты манифестов и опционально runtime-трассировки, чтобы доказать, какие уязвимости действительно эксплуатируемы.

Результат: сосредоточьтесь на 12 достижимых CVE вместо 500 теоретических.

Капсула решения объединяет всё необходимое для понимания и воспроизведения решения о релизе:

• Дайджест артефакта (SHA-256)
• Снимок SBOM?Software Bill of Materials – полный перечень всех пакетов и зависимостей вашего ПО (CycloneDX?Открытый стандартный формат для SBOM, используемый во всей отрасли/SPDX?Software Package Data Exchange – ещё один открытый формат для SBOM, широко используемый в open source)
• Доказательства достижимости (подписанные графы)
• Состояние VEX?Vulnerability Exploitability eXchange – машиночитаемые утверждения о том, являются ли уязвимости реально эксплуатируемыми в вашем контексте и версия политики
• Записи одобрений

Каждый компонент подписан DSSE. Узнать больше о доказательствах →

Да. Пакет „Стела“ работает 100% офлайн без внешних зависимостей.

Автономный комплект включает фиды уязвимостей, образы контейнеров и данные о происхождении. Вы получаете идентичные результаты сканирования как онлайн, так и в суверенной сети.

Смотреть автономный комплект →

Аудиторы получают Капсулы решений — криптографически подписанные пакеты доказательств, которые доказывают:

• Что было просканировано (точный дайджест артефакта)
• Что было найдено (SBOM?Software Bill of Materials – полный перечень всех пакетов и зависимостей вашего ПО + достижимость)
• Почему было одобрено (вердикт политики)
• Кто одобрил (подписанные одобрения)

Аудиторы могут независимо проверить подписи и воспроизвести решение офлайн с помощью stella replay.

Пакет „Стела“ доступен по лицензии BUSL-1.1. Уровень Free ограничен оценкой (3 среды, 999 сканирований в месяц) — для производственных нагрузок требуется платный план (Plus или Pro).

Платные планы измеряются по средам и новым глубоким сканированиям — без платы за рабочее место или за проект. Все функции включены на каждом уровне.

Смотреть предложение для клиентов →

Пакет „Стела“ находится в закрытом раннем доступе для сред вне Kubernetes.

• Сейчас: закрытый ранний релиз — подписанные образы и пакеты Offline Kit доступны одобренным заявителям
• Продолжается: Обратно-совместимые форматы доказательств и детерминистическое воспроизведение
• Enterprise: Ограниченные тикеты поддержки по запросу

См. Часто задаваемые вопросы →

Пакет „Стела“ моделирует релизы как граф продвижения (Dev → Stage → Prod). На каждой контрольной точке:

• Политика оценивается по доказательствам артефакта
• Одобрения записываются с криптографическими подписями
• Генерируется Капсула решения для аудита

Продвижения привязаны к дайджестам артефактов, а не к тегам. Одинаковый дайджест = одинаковые доказательства повторно используются.

Следуйте Руководству по установке, а затем выполните Быстрый старт, чтобы создать своё первое верифицированное продвижение.

Да. Мы предоставляем пакет безопасности и соответствия с ответами на анкеты (SIG/CAIQ), архитектурными заметками, криптопрофилями и шагами проверки. Запросить пакет.

Да. Мы можем предоставить условия PO/инвойсов, DPA и закупочные приложения при необходимости.

Да. Корпоративные условия могут включать согласованные SLA и escrow исходного кода. Свяжитесь с sales@stella-ops.org.

Пакет „Стела“ доступен в исходном коде по лицензии BUSL-1.1. Вы можете читать, собирать и проверять код. Уровень верификации (проверка капсул и подписей) лицензируется по Apache-2.0.

BUSL-1.1 разрешает свободное непроизводственное использование. Для производственного использования требуется платный план (Plus или Pro). После даты изменения (4 года после каждого выпуска) код преобразуется в Apache-2.0.

Эта модель обеспечивает устойчивое развитие, сохраняя при этом полную проверку цепочки доказательств.

Среда — это именованная цель развертывания в сочетании с политикой и дополнительными правилами утверждения. Примеры: разработка, постановка, производство.

Каждая среда определяет:

• Цели — где фактически запускаются контейнеры (хост Docker, проект Compose, кластер ECS)
• Политика — условия прохождения/неудачи для продвижения по службе (пороги CVE?Common Vulnerabilities and Exposures – уникальный идентификатор публично известной уязвимости безопасности, шлюзы достижимости)
• Утверждения — кто должен подписать соглашение, прежде чем релиз попадет в эту среду.

Релизы передаются между средами через шлюзы политики, при этом каждое продвижение фиксируется как подписанное свидетельство.

Уровень «Бесплатный» предназначен только для оценки и разработки. Он включает в себя полное сканирование и до 3 сред с 999 ежемесячными проверками новых сводок, но не допускает производственного развертывания.

Для производственного использования вам потребуется Plus (до 33 сред) или Pro (до 333 сред). Для больших потребностей свяжитесь с нами.

Подробную информацию об уровне см. на странице цен.

Да. Пакет „Стела“ не заменяет существующий сканер — это слой управления поверх него. Вы можете передавать результаты сканирования из Trivy, Snyk, Grype или любого источника SARIF/CycloneDX в пакете „Стела“ для фильтрации по достижимости и применения политик.

Пакет „Стела“ добавляет то, чего не хватает автономным сканерам: анализ достижимости, многовыпускной VEX, шлюзы политики с учетом среды и экспорт подписанных доказательств. Ваш сканер находит CVEs; пакет „Стела“ решает, какие из них имеют значение, и подтверждает решение.