Готов к воздушному зазору

Запуск пакета „Стела“ в Air‑Gap сетях

Один подписанный пакет доставляет фиды, образы и происхождение, чтобы тот же опыт работы с пакетом „Стела“ работал за самым строгим периметром.

Запросить доступ Прочитайте руководство

Что позволяет комплект

Комплект автономного обновления гарантирует, что ваша изолированная установка пакет „Стела“ будет иметь те же возможности сканирования, принятия решений и доказательства, что и подключенное развертывание.

→ Полное сканирование уязвимостей с актуальными бюллетенями из 33+ источников
→ Анализ достижимости и фильтрация рисков с учетом VEX?Vulnerability Exploitability eXchange – машиночитаемые утверждения о том, являются ли уязвимости реально эксплуатируемыми в вашем контексте без доступа в Интернет
→ Продвижение на основе политик с подписанными капсулами решений для каждого выпуска
→ Детерминированное воспроизведение и аудиторская проверка — сеть не требуется

1 · Что внутри

Курированные бюллетени

Глобальные фиды плюс региональные источники (CNNVD, JVN, ENISA, BDU), сохранённые как отдельные подписанные снимки, чтобы политика могла доверять или игнорировать каждый из них независимо.

Предзагруженная среда выполнения

Сканер, Zastava и вспомогательные образы для x86‑64 и arm64, готовые к зеркалированию в ваш реестр.

Происхождение и SBOM

Подписи Cosign, аттестации DSSE и SPDX SBOM, которые доказывают, что вы импортировали.

Дельта-обновления

Компактные ежедневные патчи поддерживают пакет актуальным без переноса гигабайтов через периметр.

Detailed kit contents

Vulnerability Feeds

→ NVD?National Vulnerability Database – государственный репозиторий США стандартизированных данных об уязвимостях (NIST)
→ OSV?Open Source Vulnerabilities – распределённая база данных уязвимостей для open-source-проектов (Google)
→ CISA?Cybersecurity and Infrastructure Security Agency – федеральное агентство США, ответственное за кибербезопасность и каталоги уязвимостей KEV?Known Exploited Vulnerabilities – каталог CISA активно эксплуатируемых уязвимостей
→ GitHub Advisories
→ CNNVD (China)
→ JVN?Japan Vulnerability Notes – японская база данных уязвимостей, управляемая JPCERT/CC и IPA (Japan)
→ ENISA (EU)
→ BDU (Russia)
→ 33+ regional sources

Container Images

→ stella-scanner (x86-64, arm64)
→ zastava runtime
→ console-ui
→ authority service
→ supporting services

Signatures & Provenance

→ Cosign?Инструмент подписи контейнеров проекта Sigstore для подписи и верификации образов и артефактов signatures for all artifacts
→ DSSE?Dead Simple Signing Envelope – простой гибкий стандарт для подписи произвольных данных криптографическими подписями attestations
→ SPDX?Software Package Data Exchange – ещё один открытый формат для SBOM, широко используемый в open source SBOMs for every image
→ Manifest checksums (SHA-256)
→ Timestamp proofs

Runbooks & Automation

→ Import automation scripts
→ Multi-site sync playbooks
→ Verification checklists
→ Процедуры отката
→ Compliance templates

Три шага к обновлению

1
Загрузите и проверьте
Получите последний комплект и подпись на подключенном зеркале. Перед передачей проверьте свой открытый ключ Cosign.
2
Перенос на изолированный режим site
Используйте утвержденный канал: USB, курьерскую службу или контролируемый ящик rsync. Неподписанные пакеты никогда не пересекают границу.
3
Импорт
Запустите импорт автономного комплекта пакет „Стела“ или используйте пользовательский интерфейс консоли. Смена каналов происходит менее чем за три секунды без простоев.

Терминал

$ stella offline-kit import stella-ouk-2026-01-20.tar.gz --verify
Проверка подписи пакета... OK
Импорт фидов уязвимостей... 33 источника обновлены
Импорт контейнерных образов... 12 образов загружены
Импорт данных provenance... OK

Offline Kit успешно импортирован
Снимок знаний: 2026-01-20T00:00:00Z
Следующее обновление рекомендуется: 2026-01-27

Скрипты автоматизации, аудиты манифестов и устранение неполадок находятся в <a href="/docs/24_offline_kit/" class="link">руководстве по офлайн-пакету</a>.

Синхронизация нескольких сайтов

1
Расписание загрузок
Настройте cron на подключенном зеркале для получения последнего комплекта с желаемой частотой.
2
Распространение через утвержденный канал
Перенос на каждый сайт через USB, курьером или контролируемым почтовым ящиком в соответствии с вашей политикой безопасности.
3
Импорт для каждого окна изменения
Каждый сайт с воздушным зазором импортируется независимо согласно собственному графику технического обслуживания.

Перед импортом

Зарегистрируйте идентификатор пакета и хеш манифеста для отслеживания соответствия
Убедитесь, что подпись Cosign?Инструмент подписи контейнеров проекта Sigstore для подписи и верификации образов и артефактов соответствует вашему доверенному открытому ключу.
Вращайте бесплатный токен квоты на своем график; проверка остается в автономном режиме
Храните чистую копию в защищенном от несанкционированного доступа хранилище для быстрого повторного выпуска.

Поддерживайте актуальность развертывания с воздушным зазором

Запросить доступ Читать руководство по офлайн-пакету

Суверенное развертывание · Обзор операций