Движок доказательств

Знайте, какие уязвимости действительно важны

Генерируйте SBOM, анализируйте гибридную достижимость и создавайте подписанные доказательства для каждого артефакта.

Значительно меньше ложных срабатываний благодаря трёхуровневому анализу

Запросить доступ Читать документацию

Разница в достижимости

Традиционные сканеры сообщают о существовании CVE. «Стелла» доказывает, вызывает ли ваш код уязвимую функцию на самом деле.

Статический анализ

Извлечение графа вызовов из байт-кода и исходного кода. Отслеживает пути выполнения к уязвимым функциям.

Анализ манифестов

Операторы импорта, деревья зависимостей, манифесты пакетов. Определяет, какой код фактически включён.

Runtime-трассировки

Опциональные данные профилирования для большей уверенности. Доказывает, какие пути кода фактически выполняются. eBPFExtended Berkeley Packet Filter — технология ядра Linux, выполняющая изолированные программы для высокопроизводительного мониторинга и анализа среды выполнения без модулей ядра

Результат: значительно меньше ложных срабатываний

Сосредоточьтесь на 12 достижимых CVE вместо 487 теоретических.

Разница на практике

Вывод типичного сканера

Терминал
$ trivy image myapp:latest
Всего: 487 уязвимостей
  CRITICAL: 23
  HIGH: 89
  MEDIUM: 241
  LOW: 134

"Отлично. Какие действительно важны?"

«Стелла» с анализом достижимости

Терминал
$ stella scan myapp:latest --reachability
Всего: обнаружено 487 CVE
Достижимые: 12 CVE
  CRITICAL: 2 (оба в auth пути)
  HIGH: 4 (3 в обработчике API)
  MEDIUM: 6

Сфокусируйтесь на важном. Деплойте уверенно.

Возможности SBOM

Генерируйте, импортируйте и сравнивайте SBOM с полной историей версий и отслеживанием происхождения.

Поддержка множества форматов

CycloneDX 1.7, SPDX 3.0, Trivy-JSON с автоопределением.

Кеширование Delta-SBOM

Субсекундные повторные сканирования благодаря интеллектуальному кешированию.

Реестр родословной SBOM

Полная версионированная история с запросами обхода.

Послойный анализ

Извлечение SBOM по слоям и определение базовых образов.

Семантическое сравнение SBOM

Обнаружение существенных изменений между релизами.

Используйте свой SBOM

Импортируйте внешние SBOM и добавляйте анализ достижимости.

11 языковых анализаторов

.NET/C#
Java
Go
Python
Node.js
Ruby
Bun
Deno
PHP
Rust
Native
+ещё

Плюс анализаторы пакетов ОС для apk, apt, yum, dnf, rpm и pacman.

33+ источника бюллетеней

Агрегируйте разведку уязвимостей из глобальных, вендорских и региональных источников с автоматической синхронизацией и обнаружением конфликтов.

Глобальные базы данных

  • NVDNational Vulnerability Database – государственный репозиторий США стандартизированных данных об уязвимостях (NIST), CVECommon Vulnerabilities and Exposures – уникальный идентификатор публично известной уязвимости безопасности (MITRE), OSVOpen Source Vulnerabilities – распределённая база данных уязвимостей для open-source-проектов, GHSAGitHub Security Advisories – база данных уязвимостей безопасности для пакетов на GitHub
  • Alpine, Debian, Ubuntu, RHEL, SUSE
  • CISACybersecurity and Infrastructure Security Agency – федеральное агентство США, ответственное за кибербезопасность и каталоги уязвимостей KEVKnown Exploited Vulnerabilities – каталог CISA активно эксплуатируемых уязвимостей, EPSSExploit Prediction Scoring System – вероятностная оценка (0–100%), предсказывающая вероятность эксплуатации уязвимости v4

Вендорские PSIRT

  • Microsoft MSRC, Cisco PSIRT, Oracle CPU
  • VMware, Adobe PSIRT, Apple Security
  • Chromium, Kaspersky ICS-CERT

Национальные CERT

  • CERT-FR, CERT-Bund (BSI), CERT-In
  • ACSC, CCCS, KISA, JVNJapan Vulnerability Notes – японская база данных уязвимостей, управляемая JPCERT/CC и IPA
  • FSTEC BDU, NKCKI, Astra Linux

Кастомные фиды

  • Приватные коннекторы бюллетеней
  • Движок слияния бюллетеней с разрешением конфликтов
  • Мониторинг работоспособности коннекторов

Все источники дедуплицированы с подписанными снимками для детерминированного воспроизведения

Создан для скорости

<1s

Тёплые сканирования

Кеширование Delta-SBOM для повторных дайджестов

70-90%

Снижение ложных срабатываний

Благодаря гибридному анализу достижимости

33+

Источники бюллетеней

Агрегированы с автоматической синхронизацией

Выходные доказательства

Каждое сканирование создаёт подписанные, экспортируемые доказательства.

Снимок SBOMSoftware Bill of Materials – полный перечень всех пакетов и зависимостей вашего ПО (CycloneDXОткрытый стандартный формат для SBOM, используемый во всей отрасли/SPDXSoftware Package Data Exchange – ещё один открытый формат для SBOM, широко используемый в open source)
Граф достижимости с аттестациями рёбер
Состояние бюллетеней на момент сканирования
Генерация свидетельств путей для аудита
DSSEDead Simple Signing Envelope – простой гибкий стандарт для подписи произвольных данных криптографическими подписями-подписанные пакеты доказательств
SARIF-экспорт для интеграции с CI

Где это подходит

Только механизм доказательств

Используйте сканирование и анализ достижимости Stella в качестве автономного производителя доказательств.

  • Сгенерируйте SBOMSoftware Bill of Materials – полный перечень всех пакетов и зависимостей вашего ПО + достижимость для вашего конвейера CI
  • Экспортируйте результаты в виде SARIF, CycloneDXОткрытый стандартный формат для SBOM, используемый во всей отрасли или капсул решений.
  • Интеграция с существующим CD‑инструментом

Полный контроль над выпуском

Добавление оркестрации, шлюзов политики и выполнение развертывания для сквозного управления выпуском.

  • Сканирование → Шлюз → Продвижение → Развертывание → Доказательство
  • Дайджест-первый контроль версий в разных средах
  • A/B, канарейка, откат с сохранением доказательств

Готовы сосредоточиться на том, что важно?

Начните сканирование с анализом достижимости.

Запросить доступ Читать документацию

Оркестрация релизов · Принятие решений о безопасности · Все функции