Безопасность и ответственное раскрытие информации

Сообщить об уязвимости

Электронная почта: security@stella-ops.org

PGP: 9BCF 5D1D 6EA9 8F99 24F4 6071 B618 ABAF 7D23 C65D 7A86 77E8 2DE3 7815 6126 F723

Пожалуйста, включите:

• Влияние + затронуто компонент/версия
• Этапы воспроизведения или PoC
• Соответствующие журналы/снимки экрана
• Ваш предпочтительный график раскрытия информации

Мы подтверждаем это в течение 72 часов и будем держать вас в курсе до тех пор, пока исправление не будет опубликовано.

Проверьте, что вы запускаете

Ключи: /keys/

Проверка образа контейнера

cosign verify \
  --key https://stella-ops.org/keys/cosign.pub \
  registry.stella-ops.org/stella-ops/stella-ops:<VERSION>

Проверка архива автономного комплекта + подписанный манифест

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature stella-ops-offline-kit-<DATE>.tgz.sig \
  stella-ops-offline-kit-<DATE>.tgz

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature offline-manifest-<DATE>.json.jws \
  offline-manifest-<DATE>.json

Гарантии в эксплуатации

• Целостность выпуска: Совместные подписи + пакеты DSSE, ссылающиеся на точный тег Git
• Цепочка доказательств: Капсулы решений подписываются и воспроизводятся (см. /evidence/)
• Журналы доступа: хранятся 7 дней, затем ip → sha256(ip)
• Журнал доступа JWT: хранится только хэш идентификатора токена (нет электронная почта/IP)
• Проверка токена: может быть проверена в автономном режиме с использованием опубликованных открытых ключей
• Усиление защиты контейнера: UID без полномочий root, ограничения ЦП/ОЗУ, поддержка SELinux/AppArmor
• Четность воздушного зазора: Автономный комплект (см. /offline/)

Нет обязательной телеметрии

Никакой аналитики, трекеров, пикселей или стороннего JS в веб-интерфейсе. Телеметрия продукта отключена по умолчанию и является строго добровольной.

Сведения о конфиденциальности: /privacy/