Достижимость как доказательство
Трехуровневый анализ — статические графы вызовов, сопоставление двоичных символов, проверки eBPF во время выполнения — дает подписанные DSSE доказательства, которые значительно сокращают ложные срабатывания.
Что это значит для вашего бизнеса
Исправляйте только уязвимости, которые ваше приложение действительно может задеть — остальное пропускайте. Пакет „Стела“ доказывает, какие CVE достижимы, чтобы команда сосредоточилась на реальных рисках, а не на шуме сканеров. ReachabilityАнализ, доказывающий, вызывается ли уязвимый код вашим приложением — фильтрация ложных срабатываний из шума сканеров
До 70–90 %
Типичное снижение шума
Наблюдаемый диапазон зависит от стека и покрытия.
3
Слои анализа
Статические графы вызовов, бинарные символы, runtime eBPF‑пробы
100%
Подписано и воспроизводимо
Каждый вердикт достижимости — это доказательство, подписанное DSSE
Каждый уровень предоставляет все более убедительные доказательства того, что уязвимая функция доступна (или недоступна) из кода вашего приложения. CVECommon Vulnerabilities and Exposures – уникальный идентификатор публично известной уязвимости безопасности
Извлекайте графы вызовов из байт-кода, AST и исходного кода. Отслеживайте пути от точек входа до уязвимых символов.
Сопоставление уязвимых символов с скомпилированными двоичными экспортами. Подтверждает, что код действительно связан.
Дополнительное профилирование производства. Фиксирует фактические вызовы функций во время выполнения.
eBPFExtended Berkeley Packet Filter — технология ядра Linux, выполняющая изолированные программы для высокопроизводительного мониторинга и анализа среды выполнения без модулей ядра на базе тетрагона.Результат: значительно меньше ложных срабатываний. Сосредоточьтесь на 12 достижимых CVE вместо 487 теоретических.
Свидетельство достижимости адресуется по содержимому для дедупликации и проверки. Хэши узлов обеспечивают эффективное различие между версиями.
Хэш узла
SHA256(normalize(purl) + ":" + normalize(symbol))
Хэш пути
SHA256(entryNodeHash + ":" + joinedIntermediateHashes + ":" + sinkNodeHash)
Значимые пути Top-K сохраняются в наборе доказательств. Пути ранжируются по частоте выполнения (на основе времени выполнения) или глубине вызова (на основе статики).
Когда анализ не может определить достижимость, неопределенность отслеживается явно, а не скрывается или молчаливо считается безопасной.
| Бакет достижимости | Вес по умолчанию |
|---|---|
| Точка входа | 1.0 |
| Прямой вызов | 0.85 |
| Подтверждено в рантайме | 0.45 |
| Неизвестно | 0.5 |
| Недостижимо | 0.0 |
Итоговая оценка = max(bucket_weights) для всех путей. Неизвестные узлы способствуют оценке риска, а не игнорируются.
Прежде чем включать жесткую блокировку в рабочей среде, проверьте покрытие в своем собственном корпусе кода. В приведенной ниже матрице описано, как оценить каждый путь языка/среды выполнения и как следует обрабатывать неизвестные.
| Язык/время выполнения | Статический путь вызова | Бинарное/символическое свидетельство | Доказательства во время выполнения | Ворота по умолчанию, когда неизвестны |
|---|---|---|---|---|
| Го, Руст, C/C++ | Проверка прямого и транзитивного извлечения пути вызова | Проверка точности соответствия символа/идентификатора сборки | Дополнительное подтверждение eBPF для услуг высокого риска | Пересмотреть или заблокировать важные выводы политикой |
| Языки Java и JVM | Проверка достижимости на уровне метода и случаев динамической отправки. | Проверка сопоставления символов байт-кода/jar | Для отражающих путей рекомендуется использовать трассировки времени выполнения. | Направить неизвестных на полосу ручной проверки |
| .СЕТЬ | Проверка графа вызовов IL и происхождения пакетов. | Проверка разрешения PDB/символов в сборках выпуска | Подтверждение во время выполнения для сценариев обрезки/AOT | Прежде чем принять решение, просмотрите неизвестные данные. |
| Узел, Python, Руби, PHP | Проверка точек входа в структуру и границ динамического импорта. | Доказательство символа является частичным для динамической отправки. | Настоятельно рекомендуется использовать трассировки времени выполнения. | Сохранять неизвестное как явное состояние и требовать одобрения |
Рекомендация политики: рассматривать unknown как первоклассный вердикт, устанавливать явные пороговые значения для каждой серьезности и регистрировать причины переопределения рецензента в пакете доказательств.
DSSEDead Simple Signing Envelope – простой гибкий стандарт для подписи произвольных данных криптографическими подписями конверт с in-totoФреймворк для защиты цепочки поставок ПО путём проверки того, что каждый шаг был выполнен по плану и авторизованными участниками Формат предиката SLSASupply-chain Levels for Software Artifacts — фреймворк для обеспечения целостности программных артефактов по всей цепочке поставок Возможность проверки аудиторами без доступа к сети Детерминированное воспроизведение дает побитово-идентичные результаты. Графики и трассировки заархивированы для автономной проверки Пути хранения с адресацией к содержимому cas://reachability_graphs/<hh>/<sha>.tar.zst cas://runtime_traces/<hh>/<sha>.tar.zstКаждый анализ достижимости создает криптографически подписанное доказательство, хранящееся в хранилище с адресацией по содержимому. DSSEDead Simple Signing Envelope – простой гибкий стандарт для подписи произвольных данных криптографическими подписями
DSSEDead Simple Signing Envelope – простой гибкий стандарт для подписи произвольных данных криптографическими подписями конверт с in-totoФреймворк для защиты цепочки поставок ПО путём проверки того, что каждый шаг был выполнен по плану и авторизованными участниками Формат предиката SLSASupply-chain Levels for Software Artifacts — фреймворк для обеспечения целостности программных артефактов по всей цепочке поставокПути хранения с адресацией к содержимому
cas://reachability_graphs/<hh>/<sha>.tar.zst
cas://runtime_traces/<hh>/<sha>.tar.zst
Дополнительный инструментарий на базе Tetragon фиксирует фактическое выполнение функций в производстве, предоставляя доказательства достижимости с высочайшей степенью достоверности.
Захваченные данные зонда
symbol_id: канонический идентификатор символа
code_id: идентификатор секции кода
hit_count: частота исполнения
loader_base: базовый адрес в памяти
cas_uri: ссылка с адресацией по содержимому
Зонды отправляют наблюдения в /api/v1/observations пакетами. Каждое наблюдение включает URI CAS для базового артефакта.
Установить пакет „Стела“ и начните создавать подписанные доказательства достижимости с помощью трехуровневого анализа.