Подключить. Упаковать. Контролировать. Развернуть.

Стелла подключает вашу цепочку инструментов, генерирует доказательства, контролирует продвижения и экспортирует доказательство решения для каждого релиза.

Начать Читать документацию

После первоначальной настройки у вас будет:

  • 1. Ваше первое изображение, отсканированное с помощью SBOM + анализ достижимости
  • 2. Подписанная капсула решения, подтверждающая результаты сканирования
  • 3. Один полный переход от разработки к промежуточной стадии с доказательствами

Жизненный цикл релиза — кратко

Подключите, соберите, пройдите gate, разверните и экспортируйте капсулу решения с доказательствами, привязанными к дайджесту артефакта.

Диаграмма жизненного цикла релизаПодключитьСобратьGateРазвернутьКапсула решенияДоказательства запечатываются на каждом шаге
1

Подключить реестр, SCM, CI и инфраструктуру

Свяжите ваши реестры контейнеров, CI-пайплайны и компоненты инфраструктуры для построения книги релизов на основе дайджестов. Стелла отслеживает новые образы и координируется с вашей существующей инфраструктурой.

Источник и реестр

  • → Docker Hub, Harbour, ECR, GCR, ACR
  • → GitHub, GitLab, Bitbucket Webhooks
  • → Jenkins, GitHub Actions, GitLab CI

Инфраструктура

  • HashiCorp Vault для секретов
  • HashiCorp Consul для реестра сервисов
  • SSH/WinRM для безагентных целей
2

Создать бандл релиза

Захватите дайджесты артефактов, SBOM и происхождение как единую единицу продвижения. Бандл проходит через среды, накапливая доказательства на каждом шаге.

  • → Генерация SBOM CycloneDX / SPDX
  • → Аттестация происхождения SLSA
  • → Адресуемая по содержимому идентификация артефакта (SHA-256)
3

Контролировать с гибридной достижимостью + политикой

Оценивайте политику против доказательств на каждом продвижении. Гибридный анализ достижимости использует три уровня для определения того, какие уязвимости ваш код фактически вызывает:

1. Статический анализ

Извлечение графа вызовов из байт-кода/исходного кода

2. Анализ манифестов

Операторы import/require, деревья зависимостей

3. Runtime-трассировки

Опциональные данные профилирования для повышенной уверенности

Терминал
$ stella gate evaluate --env stage --artifact sha256:abc123...
 487 CVE найдены в зависимостях
 475 НЕ ДОСТИЖИМЫ (гибридный анализ)
! 12 ДОСТИЖИМЫ (оценены по политике)
Вердикт политики: PASS — 12 достижимых CVE ниже порога
Оценка gate сохранена: evidence/gate-stage-2025-07-15.json

Результат: на 70-90% меньше ложных срабатываний по сравнению с традиционным подсчетом CVE.

4

Развернуть + экспортировать Капсулу решения

Выполните развертывание на ваши цели и экспортируйте подписанный пакет доказательств. Настройте среды через SSH/WinRM для безагентного развертывания или используйте встроенные провайдеры.

Цели развертывания

  • → Развертывания Docker Compose
  • → AWS ECS / Fargate
  • → HashiCorp Nomad
  • → Скриптовые развертывания (.NET 10)

Настройка среды

  • SSH для Linux/Unix целей
  • WinRM для Windows целей
  • Vault для инъекции секретов
  • Consul для обнаружения сервисов

Капсулы решений подписаны DSSE и содержат всё для экспорта аудита и детерминированного воспроизведения.

Разница достижимости

Без достижимости

  • 487 CVE для сортировки
  • Дни расследования
  • Нет аудиторского следа
  • Гадать об эксплуатируемости
  • Ad-hoc исключения

Со Стеллой

  • 12 достижимых CVE для исправления
  • Часы до решения
  • Экспорт Капсулы решения
  • Доказательство путей вызовов
  • Контрольные точки, управляемые политикой

Что получают аудиторы

Каждая Капсула решения содержит:

  • Точный дайджест артефакта (SHA-256)
  • Снимок SBOM (CycloneDX/SPDX)
  • Доказательства достижимости (подписанные графы)
  • Версия политики + вердикт
  • Состояние VEX (решено по lattice)
  • Подписанные записи одобрений

Аудиторы могут независимо проверить подписи и воспроизвести решение офлайн с помощью stella replay.

Готовы увидеть в действии?

Начать Читать документацию

Смотреть все функции · Доказательства и аудит · Документация