SPDX 3.0.1
Новейший стандарт ISO/IEC 5962 с полными метаданными поставщика и выражениями лицензии SPDX.
Первоклассные SBOM и VEX
Знайте, что находится в ваших контейнерах
Создание стандартных SBOM и применение VEX заявления из нескольких источников — со встроенным интеллектуальным разрешением конфликтов и автономной проверкой.
Промышленный стандарт Форматы
Stella генерирует SBOM в форматах, которые ожидают ваши аудиторы и группы обеспечения соответствия, с полными метаданными компонентов и их происхождением.
CycloneDX 1.7
OWASP CycloneDX со встроенной поддержкой VEX и расширениями графа зависимостей.
Создание, проверка и публикация SBOM из CLI
$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwriteПочему это важно
SBOM становятся обязательными. Stella делает их практичными.
Воспроизводимые результаты
Одно и то же изображение, один и тот же SBOM — каждый раз. Аудиторы могут проверить ваши результаты независимо.
Работает в автономном режиме
Создавайте и проверяйте SBOM в изолированных средах. Никаких внешних звонков не требуется.
Соответствие требованиям
Соблюдайте требования EO 14028, CRA ЕС и требований безопасности цепочки поставок с помощью подписанных и поддающихся проверке SBOM.
Криптографически подписанная
Каждый SBOM подписан и защищен от несанкционированного доступа. Доказательства, которым можно доверять.
VEX: Контекст для Уязвимости
Не каждый CVE влияет на вас. Заявления VEX (Vulnerability Exploitability eXchange) позволяют поставщикам и вашему собственному анализу сказать, какие уязвимости действительно важны для вашего конкретного развертывания.
Затронутый
Не затрагивается
Зафиксированный
Под расследованием
VEX устраняет шум: CVE в библиотеке, которую вы не используете, не ваша проблема. Stella автоматически применяет операторы VEX, чтобы сосредоточить ваше внимание на том, что важно.
K4 Belnap Lattice: интеллектуальное разрешение конфликтов
Если несколько источников VEX расходятся во мнениях, Stella использует четырехзначную логику Belnap для вычисления окончательного состояния. Конфликты становятся видимыми, а не скрытыми.
⊥
Неизвестно
Информации пока нет. Состояние по умолчанию перед применением любого оператора VEX.
Т
Затронутый
По крайней мере один эмитент утверждает, что эта уязвимость затрагивает вас.
Ф
Не затрагивается
По крайней мере один эмитент говорит, что вас это не затронуло.
⊤
Конфликт
Некоторые издатели не согласны. Требуется проверка или переопределение высшим органом власти.
Поставщик говорит «не влияет», но ваш тест во время выполнения увидел вызванную функцию? Результат: Конфликт (⊤) — разногласия видны, а не подавляются молча.
Никакого молчаливого подавления. Никаких скрытых предположений. Неопределенность отслеживается и всплывает на поверхность.
Консенсус из нескольких источников VEX
Поставщики, дистрибьюторы и ваша собственная группа безопасности могут публиковать заявления VEX. Stella объединяет их с помощью взвешенного консенсуса.
- Получение VEX от поставщиков программного обеспечения, дистрибьюторов Linux и внутренних источников.
- Источники оцениваются по авторитету — ваши внутренние оценки могут перевесить внешние.
- Конфликты запускают рабочие процессы проверки, а не решаются молча
Один взгляд на истину
Вместо жонглирования электронными таблицами и электронными письмами получите единое авторитетное представление о том, какие уязвимости действительно влияют на ваш выпуск.
Готовы к практическому соблюдению SBOM?
Установите Stella Ops и начните создавать готовые для аудита SBOM с поддержкой нескольких источников VEX.