Возможности
Технические механизмы проверяемых релизных решений
Оркестрируйте SCM, реестры, Consul, Vault и версионирование по хешу. Образы сканируются на уязвимости, фильтруются по достижимости, и каждое продвижение проверяемо.
- → Подписанные доказательства достижимости — не предположения, а точные пути вызовов
- → Детерминированное воспроизведение — проверка любого решения спустя месяцы
- → Lattice
VEXVulnerability Exploitability eXchange – машиночитаемые утверждения о том, являются ли уязвимости реально эксплуатируемыми в вашем контексте— конфликты как состояние, а не подавление
Что это значит для вашего бизнеса
Сокращайте объём разбора достижимых CVE, сохраняйте воспроизводимость решений о продвижении и переводите аудит от реконструкции истории к проверке подписей и воспроизведению.
Proof anchors
Каждое утверждение ссылается на проверяемые артефакты доказательств, процесс воспроизведения и спецификацию.
Что вы получите за 30 минут
Установить
Настройка Docker Compose
Сканировать
SBOM + достижимость
Продвинуть
Dev → Staging
Экспорт
Капсула решения
Четыре основных принципа релизов доказательного уровня
Первоклассные SBOM и VEX
Генерируйте SPDX/CycloneDX SBOM, принимайте OpenVEX от нескольких эмитентов, разрешайте конфликты с решетчатой логикой K4 — детерминированной и автономной. SBOMSoftware Bill of Materials – полный перечень всех пакетов и зависимостей вашего ПО VEXVulnerability Exploitability eXchange – машиночитаемые утверждения о том, являются ли уязвимости реально эксплуатируемыми в вашем контексте
- → Генерируйте
SPDXSoftware Package Data Exchange – ещё один открытый формат для SBOM, широко используемый в open source3.0.1 иCycloneDXОткрытый стандартный формат для SBOM, используемый во всей отрасли1.7SBOMSoftware Bill of Materials – полный перечень всех пакетов и зависимостей вашего ПОиз контейнерных образов - → Загружайте
OpenVEXОткрытый стандартный формат для VEX-утверждений об эксплуатируемости уязвимостейот нескольких издателей с разрешением конфликтов K4 lattice - → Сопоставляйте
CVECommon Vulnerabilities and Exposures – уникальный идентификатор публично известной уязвимости безопасностииз 30+ источников advisories с подсекундным warm-path сканированием
Достижимость как доказательство
Трехуровневый анализ — статические графы вызовов, символы бинарников, eBPF‑пробы в рантайме — создают подписанные DSSE доказательства, которые существенно снижают число ложных срабатываний. ReachabilityАнализ, доказывающий, вызывается ли уязвимый код вашим приложением — фильтрация ложных срабатываний из шума сканеров
- → Трёхслойный анализ: статические графы вызовов, бинарные символы,
eBPFExtended Berkeley Packet Filter — технология ядра Linux, выполняющая изолированные программы для высокопроизводительного мониторинга и анализа среды выполнения без модулей ядра-зонды в рантайме - → Подписанные
DSSEDead Simple Signing Envelope – простой гибкий стандарт для подписи произвольных данных криптографическими подписями-доказательства — не утверждения, а проверяемая доказательная база - → Значительно меньше ложных срабатываний: фокус на 12 достижимых
CVECommon Vulnerabilities and Exposures – уникальный идентификатор публично известной уязвимости безопасности, а не 487 теоретических
Версионирование по дайджесту
Релизы — это неизменяемые наборы дайджестов OCI, разрешаемые при создании: теги — это псевдонимы, дайджесты — это правда, каждое получение может быть обнаружено с помощью обнаружения несанкционированного доступа.
- → Релизы — неизменяемые наборы
OCIOpen Container Initiative — отраслевой стандарт форматов образов контейнеров и реестров-дайджестов, зафиксированные при создании - → Теги — алиасы, дайджесты — истина; каждый pull обнаруживает подмену
- → Полный аудиторский след: точно знать, что, где и когда было развернуто
Безагентное развертывание
Развёртывайте на серверах Linux (SSH) и Windows (WinRM) со стратегиями канареечного, поэтапного или сине-зелёного развёртывания — откат возвращает к проверенным дайджестам.
- → Развёртывание в Docker Compose, Swarm, ECS, Nomad или скриптовые хосты
- → Выполнение через SSH (Linux) и WinRM (Windows) — безагентно по замыслу.
- → Канареечные, поэтапные и сине-зелёные стратегии с мгновенным откатом
Что отличает пакет „Стела“
Большинство инструментов дают находки или развёртывания. Пакет „Стела“ даёт доказательства.
Доказательства, а не утверждения
Каждое решение подтверждено подписанными, воспроизводимыми доказательствами. Аудиторы могут проверять независимо — без зависимости от поставщика.
Вне Kubernetes — в приоритете
Docker Compose, ECS, Nomad и скриптовые хосты — основные цели, а не дополнение к Kubernetes-центрированному дизайну.
Детерминированное воспроизведение
Повторите любое решение через 6 месяцев с замороженными входами. Тот же SBOM, те же фиды, та же политика — бит-в-бит идентичный результат.
Суверенно и офлайн
Полная работа в air-gap с подписанными пакетами фидов. Криптопрофили, совместимые с FIPS, GOST, SM2/SM3 и eIDAS (валидация зависит от вашего провайдера ключей). Никакой обязательной телеметрии; только opt-in (по умолчанию выключено).
Как пакету „Стела“ сравнивает
Пакет „Стела“ объединяет сканирование, политику и развертывание в одну платформу, связанную с доказательствами. Посмотрите, как это складывается.
| Инструмент | Категория | Ключевое отличие | |
|---|---|---|---|
| Trivy / Grype | Сканеры | Только находки — без достижимости, без оркестрации | Сравнить → |
| Snyk | SCASoftware Composition Analysis — автоматическое сканирование сторонних и open-source компонентов на известные уязвимости и лицензионные риски-платформа | Только SaaS, без детерминированного воспроизведения | Сравнить → |
| Octopus Deploy | CD-платформа | Нет встроенного сканирования безопасности или цепочки доказательств | Сравнить → |
| GitHub Actions | CI/CD | Фокус на CI, нет слоя оркестрации релизов | Сравнить → |
| Harness | CD-платформа | Kubernetes-центрированный подход, ограниченная поддержка вне Kubernetes | Сравнить → |
Готовы к релизам доказательного уровня?
Установите с помощью Docker Compose и запустите первое проверенное продвижение.