Подключить. Упаковать. Контролировать. Развернуть.

Подключите выход CI и цели развертывания, оцените политику по доказательствам, привязанным к хешу, затем продвигайте релизы с подписанными записями. Итог: меньше достижимых CVE на разборе, детерминированное воспроизведение и более быстрый ответ аудиторам.

Запросить доступ Читать документацию

Proof anchors

Каждое утверждение ссылается на проверяемые артефакты доказательств, процесс воспроизведения и спецификацию.

Proof and methodology links: Evidence and Audit | Decision Capsule spec | Operations and Deployment

После первоначальной настройки у вас будет:

1. Ваше первый образ, отсканированное с помощью SBOM?Software Bill of Materials – полный перечень всех пакетов и зависимостей вашего ПО + анализ достижимости
2. Подписанная капсула решения, подтверждающая результаты сканирования
3. Один полный переход от разработки к промежуточной стадии с доказательствами

Где место пакета „Стела“

Пакет „Стела“ находится между вашим CI и серверами. CI собирает образы. Пакет „Стела“ решает, можно ли их продвинуть, разворачивает на не-Kubernetes-цели (Compose, SSH/WinRM, ECS, Nomad) и экспортирует доказательства для аудита.

Обзор архитектуры

Контрольная плоскость Пакета „Стела“ находится между вашими входами (CI/CD, реестры, фиды) и выходами (цели развертывания, аудит-системы). Доказательства проходят через нее и запечатываются на каждом шаге.

Stella Ops Architecture Diagram — Архитектура пакета „Стела“ — самостоятельный хостинг с модулями для каждого слоя и возможностью расширения через плагины

Жизненный цикл релиза — кратко

Подключите, соберите, пройдите контрольную точку, разверните и экспортируйте Капсулу решения с доказательствами, привязанными к хешу артефакта.

Подключить реестр, SCM, CI и инфраструктуру

Свяжите ваши реестры контейнеров, CI-пайплайны и компоненты инфраструктуры для построения книги релизов на основе дайджестов. Пакет „Стела“ отслеживает новые образы и координируется с вашей существующей инфраструктурой.

Источник и реестр

→ Docker Hub, Harbour, ECR, GCR, ACR
→ GitHub, GitLab, Bitbucket Webhooks
→ Jenkins, GitHub Actions, GitLab CI

Инфраструктура

→ HashiCorp Vault для секретов
→ HashiCorp Consul для реестра сервисов
→ SSH/WinRM для удалённых целей (безагентно по замыслу)

Создать бандл релиза

Захватите дайджесты артефактов, SBOM и происхождение как единую единицу продвижения. Бандл проходит через среды, накапливая доказательства на каждом шаге.

→ Генерация SBOM?Software Bill of Materials – полный перечень всех пакетов и зависимостей вашего ПО CycloneDX?Открытый стандартный формат для SBOM, используемый во всей отрасли / SPDX?Software Package Data Exchange – ещё один открытый формат для SBOM, широко используемый в open source
→ Аттестация происхождения SLSA?Supply-chain Levels for Software Artifacts — фреймворк для обеспечения целостности программных артефактов по всей цепочке поставок
→ Адресуемая по содержимому идентификация артефакта (SHA-256)

Контролировать с гибридной достижимостью + политикой

Оценивайте политику против доказательств на каждом продвижении. Гибридный анализ достижимости использует три уровня для определения того, какие уязвимости ваш код фактически вызывает:

1. Статический анализ

Извлечение графа вызовов из байт-кода/исходного кода

2. Анализ манифестов

Операторы import/require, деревья зависимостей

3. Трассировка во время выполнения

Опциональные данные профилирования для повышенной уверенности

Терминал

$ stella gate evaluate --env stage --artifact sha256:abc123...
✓ 487 CVE найдены в зависимостях
✓ 475 НЕ ДОСТИЖИМЫ (гибридный анализ)
! 12 ДОСТИЖИМЫ (оценены по политике)
Вердикт политики: ПРОЙДЕНО — 12 достижимых CVE ниже порога
Оценка контрольной точки сохранена: evidence/gate-stage-2025-07-15.json

Результат: значительно меньше ложных срабатываний по сравнению с традиционным подсчетом CVE.

Развернуть + экспортировать Капсулу решения

Выполните развертывание на ваши цели и экспортируйте подписанный пакет доказательств. Настройте среды через SSH/WinRM или используйте встроенные провайдеры — все развёртывания безагентные по замыслу.

Цели развертывания

→ Развертывания Docker Compose
→ AWS ECS / Fargate
→ HashiCorp Nomad
→ Скриптовые развертывания (.NET 10)

Настройка среды

→ SSH для Linux/Unix целей
→ WinRM для Windows целей
→ Vault для инъекции секретов
→ Consul для обнаружения сервисов

Капсулы решений подписаны DSSE и содержат всё для экспорта аудита и детерминированного воспроизведения.

Разница достижимости

Без достижимости

487 CVE?Common Vulnerabilities and Exposures – уникальный идентификатор публично известной уязвимости безопасности для сортировки
Дни расследования
Нет аудиторского следа
Гадать об эксплуатируемости
Разовые исключения

С пакетом „Стела“

12 достижимых CVE?Common Vulnerabilities and Exposures – уникальный идентификатор публично известной уязвимости безопасности для исправления
Часы до решения
Экспорт Капсулы решения
Доказательство путей вызовов
Контрольные точки, управляемые политикой

Что получают аудиторы

Каждая Капсула решения содержит:

Точный дайджест артефакта (SHA-256)
Снимок SBOM?Software Bill of Materials – полный перечень всех пакетов и зависимостей вашего ПО (CycloneDX?Открытый стандартный формат для SBOM, используемый во всей отрасли/SPDX?Software Package Data Exchange – ещё один открытый формат для SBOM, широко используемый в open source)
Доказательства достижимости (подписанные графы)
Версия политики + вердикт
Состояние VEX?Vulnerability Exploitability eXchange – машиночитаемые утверждения о том, являются ли уязвимости реально эксплуатируемыми в вашем контексте (решено по lattice)
Подписанные записи одобрений

Аудиторы могут независимо проверить подписи и воспроизвести решение офлайн с помощью stella replay.

Готовы увидеть в действии?

Запросить доступ Читать документацию

Смотреть все функции | Доказательства и аудит | Документация