Первоклассные SBOM и VEX

Знайте, что находится в ваших контейнерах

Создание стандартных SBOM и применение VEX заявления из нескольких источников — со встроенным интеллектуальным разрешением конфликтов и автономной проверкой.

Запросить доступ Просмотреть все функции

Что это значит для вашего бизнеса

Точно знайте, что содержится в каждом релизе и какие рекомендации применимы. Пакет „Стела“ генерирует подписанные SBOM и разрешает противоречивые VEX-утверждения, чтобы команды соответствия получили ясную картину. VEX?Vulnerability Exploitability eXchange – машиночитаемые утверждения о том, являются ли уязвимости реально эксплуатируемыми в вашем контексте

Промышленный стандарт Форматы

Пакет „Стела“ генерирует SBOM в форматах, которые ожидают ваши аудиторы и группы обеспечения соответствия, с полными метаданными компонентов и их происхождением.

SPDX 3.0.1

Новейший стандарт ISO/IEC 5962 с полными метаданными поставщика и выражениями лицензии SPDX.

CycloneDX 1.7

OWASP CycloneDX со встроенной поддержкой VEX и расширениями графа зависимостей.

Создание, проверка и публикация SBOM из CLI

Терминал

$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwrite

Почему это важно

SBOM становятся обязательными. Пакет „Стела“ делает их практичными.

Воспроизводимые результаты

Одно и тот же образ, один и тот же SBOM — каждый раз. Аудиторы могут проверить ваши результаты независимо.

Работает в автономном режиме

Создавайте и проверяйте SBOM в изолированных средах. Никаких внешних звонков не требуется.

Соответствие требованиям

Поддерживает EO 14028, EU CRA и другие требования безопасности цепочки поставок благодаря подписанным, проверяемым SBOM.

Криптографически подписанная

Каждый SBOM подписан и защищен от несанкционированного доступа. Доказательства, которым можно доверять.

VEX: Контекст для Уязвимости

Не каждый CVE влияет на вас. Заявления VEX (Vulnerability Exploitability eXchange) позволяют поставщикам и вашему собственному анализу сказать, какие уязвимости действительно важны для вашего конкретного развертывания.

Затронутый

Не затрагивается

Зафиксированный

Под расследованием

VEX устраняет шум: CVE в библиотеке, которую вы не используете, не ваша проблема. Пакет „Стела“ автоматически применяет операторы VEX, чтобы сосредоточить ваше внимание на том, что важно.

Что это значит для вашего бизнеса

Когда сканеры расходятся, смотрите все доказательства вместо молчаливой подмены. Пакет „Стела“ показывает конфликты, чтобы ваша команда принимала обоснованные решения — меньше пропущенных уязвимостей, меньше напрасных исправлений.

How conflict states are computed (advanced)

Если несколько источников расходятся во мнениях, пакет „Стела“ использует четырехзначную логику Belnap для вычисления окончательного состояния. Конфликты становятся видимыми, а не скрытыми. ⊥ Неизвестно Информации пока нет. Состояние по умолчанию перед применением любого оператора . Т Затронутый По крайней мере один эмитент утверждает, что эта уязвимость затрагивает вас. Ф Не затрагивается По крайней мере один эмитент говорит, что вас это не затронуло. ⊤ Конфликт Некоторые издатели не согласны. Требуется проверка или переопределение высшим органом власти. Поставщик говорит «не влияет», но ваш тест во время выполнения увидел вызванную функцию? Результат: Конфликт (⊤) — разногласия видны, а не подавляются молча. Никакого молчаливого подавления. Никаких скрытых предположений. Неопределенность отслеживается и всплывает на поверхность.

Если несколько источников VEX расходятся во мнениях, пакет „Стела“ использует четырехзначную логику Belnap для вычисления окончательного состояния. Конфликты становятся видимыми, а не скрытыми.

⊥

Неизвестно

Информации пока нет. Состояние по умолчанию перед применением любого оператора VEX.

Затронутый

По крайней мере один эмитент утверждает, что эта уязвимость затрагивает вас.

Не затрагивается

По крайней мере один эмитент говорит, что вас это не затронуло.

⊤

Конфликт

Некоторые издатели не согласны. Требуется проверка или переопределение высшим органом власти.

Поставщик говорит «не влияет», но ваш тест во время выполнения увидел вызванную функцию? Результат: Конфликт (⊤) — разногласия видны, а не подавляются молча.

Никакого молчаливого подавления. Никаких скрытых предположений. Неопределенность отслеживается и всплывает на поверхность.

Multi-source VEX aggregation (advanced)

Поставщики, дистрибьюторы и ваша собственная группа безопасности могут публиковать заявления . Пакет „Стела“ объединяет их с помощью взвешенного консенсуса. Получение от поставщиков программного обеспечения, дистрибьюторов Linux и внутренних источников. Источники оцениваются по авторитету — ваши внутренние оценки могут перевесить внешние. Конфликты запускают рабочие процессы проверки, а не решаются молча Один взгляд на истину Вместо жонглирования электронными таблицами и электронными письмами получите единое авторитетное представление о том, какие уязвимости действительно влияют на ваш выпуск.

Поставщики, дистрибьюторы и ваша собственная группа безопасности могут публиковать заявления VEX. Пакет „Стела“ объединяет их с помощью взвешенного консенсуса.

Получение VEX?Vulnerability Exploitability eXchange – машиночитаемые утверждения о том, являются ли уязвимости реально эксплуатируемыми в вашем контексте от поставщиков программного обеспечения, дистрибьюторов Linux и внутренних источников.
Источники оцениваются по авторитету — ваши внутренние оценки могут перевесить внешние.
Конфликты запускают рабочие процессы проверки, а не решаются молча

Один взгляд на истину

Вместо жонглирования электронными таблицами и электронными письмами получите единое авторитетное представление о том, какие уязвимости действительно влияют на ваш выпуск.

Готовы к практическому соблюдению SBOM?

Установите пакет „Стела“ и начните создавать готовые для аудита SBOM с поддержкой нескольких источников VEX.

Запросить доступ Читать документацию