證據與審計

證明每個決定。幾個月後重播。

決策膠囊密封證據,以便審核員可以離線、獨立、逐位驗證任何發布相同。

申請訪問 閱讀規範

這對您的業務意味著什麼

合規就緒證明自動生成——數月後仍可驗證和重放,即使離線也可以。每個發布決策都封裝在簽名的決策膠囊中,稽核員可以獨立檢查。 Decision Capsule簽名的可匯出證據包,封裝發布決策的每個輸入和輸出,用於離線稽核和確定性重放

審計視角:你會拿到什麼

匯出決策膠囊會生成簽名且按內容尋址的包,包含發布決策的精確輸入與輸出。

  • 用於掃描的精確 SBOM軟體物料清單 - 軟體中所有套件和相依性的完整列表
  • 凍結的漏洞 feed 快照(NVD國家漏洞資料庫 - 美國政府基於標準的漏洞資料儲存庫OSV開源漏洞 - 面向開源專案的分散式漏洞資料庫、供應商通告)
  • 可達性證據(靜態呼叫圖工件與執行期追蹤)
  • 用於門禁的策略版本與 lattice 規則
  • 含理由的衍生 VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 聲明
  • 覆蓋膠囊內容的 DSSEDead Simple Signing Envelope - 用於以加密簽章簽署任意資料的簡單靈活標準 簽名

來源: 決策膠囊文件

什麼是證據包?

內容

每個決策膠囊捆綁了確切的 SBOM、凍結漏洞源、可達性圖、策略版本、派生 VEX 和批准元數據。

簽署

DSSE/in-toto 簽名使包防篡改。選擇 FIPS 對齊、GOST R 34.10、SM2/SM3 或 eIDAS 相容的加密配置(驗證取決於所選密鑰提供方)。 CosignSigstore專案的容器簽章工具,用於簽署和驗證容器映像和製品 Sigstore為軟體供應鏈提供免費程式碼簽章和透明度日誌基礎設施的開源專案

導出

在任何促銷步驟中導出膠囊。使用 WORM 語義存儲在 Evidence Locker 中,以確保合規保留期。

重播

使用 stella replay 以相同輸入重跑歷史決策,並驗證得到相同結果。

示例膠囊結構

每個Decision Capsule都是一個帶有簽名工件的獨立目錄:

decision-capsule-20260126-prod-a1b2/
|- manifest.json         # 膠囊中繼資料 + 簽名
|- sbom.cdx.json         # CycloneDX 1.7 SBOM
|- sbom.cdx.json.sig     # DSSE 簽名
|- reachability/
|  |- analysis.json      # 可達性裁決
|  |- call-graph.json    # 靜態分析證據
|  `- analysis.json.sig  # DSSE 簽名
|- policy/
|  |- rules.rego         # 策略快照
|  `- verdict.json       # 門禁決定 + 理由
|- approvals/
|  `- jsmith.sig         # 人工批准簽名
`- feeds/
   `- snapshot.json      # 凍結的 CVE/通告狀態

Manifest structure (advanced)

膠囊清單以 digest 固定每個輸入與輸出,方便日後重播決策。 apiVersion: capsule.stellaops.dev/v1 metadata: id: "cap-2025-12-11-abc123" timestamp: "2025-12-11T14:30:00Z" scan_id: "scan-xyz789" inputs: sbom: format: "cyclonedx@1.6" digest: "sha256:..." feeds: - name: "nvd" snapshot: "2025-12-11" digest: "sha256:..." policy: version: "corp-policy@2025-12-01" digest: "sha256:..." outputs: vex: format: "openvex" digest: "sha256:..." signatures: - scheme: "DSSE" profile: "FIPS-aligned" signer: "build-ca@corp"
Read more

膠囊清單以 digest 固定每個輸入與輸出,方便日後重播決策。

apiVersion: capsule.stellaops.dev/v1
metadata:
  id: "cap-2025-12-11-abc123"
  timestamp: "2025-12-11T14:30:00Z"
  scan_id: "scan-xyz789"
inputs:
  sbom:
    format: "cyclonedx@1.6"
    digest: "sha256:..."
  feeds:
    - name: "nvd"
      snapshot: "2025-12-11"
      digest: "sha256:..."
  policy:
    version: "corp-policy@2025-12-01"
    digest: "sha256:..."
outputs:
  vex:
    format: "openvex"
    digest: "sha256:..."
signatures:
  - scheme: "DSSE"
    profile: "FIPS-aligned"
    signer: "build-ca@corp"

Verification commands (step-by-step)

稽核人員可獨立驗證簽章、檢查完整性並重播決策——不需要 Stella 基礎設施。 1 $ cosign verify-blob --key example-capsule.pub --signature example-capsule.sig example-capsule.tar.gz 使用 cosign 驗證範例膠囊簽名(示範金鑰) 2 $ tar -xzf example-capsule.tar.gz && stella capsule verify ./decision-capsule-2026-01-20/ 解壓膠囊並驗證 manifest 摘要 3 $ stella replay ./decision-capsule-2026-01-20/ --offline 以凍結輸入重播決策 三個指令皆可離線運作。證據隨膠囊攜帶。
Read more

稽核人員可獨立驗證簽章、檢查完整性並重播決策——不需要 Stella 基礎設施。

  1. 1
    $ cosign verify-blob --key example-capsule.pub --signature example-capsule.sig example-capsule.tar.gz

    使用 cosign 驗證範例膠囊簽名(示範金鑰)

  2. 2
    $ tar -xzf example-capsule.tar.gz && stella capsule verify ./decision-capsule-2026-01-20/

    解壓膠囊並驗證 manifest 摘要

  3. 3
    $ stella replay ./decision-capsule-2026-01-20/ --offline

    以凍結輸入重播決策

三個指令皆可離線運作。證據隨膠囊攜帶。

試用:範例決策膠囊

下載去識別化的範例膠囊,以探索結構並在本機執行驗證指令。

包含:SBOM、可達性證明、策略快照、模擬核准。附帶簽名與公鑰,方便本地驗證。

下載範例膠囊 下載簽名 下載公鑰

證據鏈

證據如何流經Stella Ops
證據流程圖像SBOM可達性策略結論DSSE 簽名DSSE 簽名DSSE 簽名

決策膠囊中的內容

工件摘要

SHA-256 內容地址

已簽名

SBOM 快照

CycloneDX 1.7 / SPDX 3.0

已簽名

可達性證據

圖+邊證明

已簽名

VEX狀態

格解析判決

已簽名

策略版本

內容尋址的 Rego/DSL

已簽名

批准

簽署的批准記錄

已簽名

合規工作流程

審核員可以在幾個月後重播決策
審核重放流程決策膠囊6 個月前stella回放相同的判決逐位相同
  1. 1

    審核員詢問

    “顯示我證明這個 CVE 在 1 月份版本中得到了正確處理。”

  2. 2

    運算符導出

    stellacapsule export jan-release-capsule.yaml --format審核包

  3. 3

    Pack驗證

    Auditor 運行 stellacapsule verify jan-release-capsule.yaml — 簽名檢查,摘要匹配。

  4. 4

    重播再現

    stella replay jan-release-capsule.yaml 使用凍結輸入生成相同的結論。

確定性重播

6個月後運行相同的決策 - 相同的凍結輸入產生相同的結論。不需要網絡,沒有狀態漂移,沒有歧義。

  • 使用固定金鑰驗證膠囊簽名。
  • 確認 SBOM軟體物料清單 - 軟體中所有套件和相依性的完整列表 與 feed 快照的 digest 與清單一致。
  • 使用相同 policy bundle 與可達性輸入重播。
  • 匯出含裁決、VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 與證據的審計包。
終端
$ stella replay capsule.json --verify
重播 2025-07-15T14:32:00Z 的決策...
策略版本:sha256:e5f6g7h8... (匹配)
Feed 快照:  sha256:i9j0k1l2... (匹配)
裁決:ALLOW(與原始一致)
確定性檢查:PASS

格式和互操作性

SBOM

CycloneDX 1.7 和 SPDX 3.0.1。從 Trivy、Grype、Syft 導入或本地生成。

VEX

OpenVEX和CSAF 2.0。具有衝突檢測功能的多發行者點陣解析。

SARIF

靜態分析結果交換格式導出用於IDE和CI集成。

氣隙驗證

審核員無需任何網絡訪問即可驗證簽名、檢查摘要完整性並重播決策。所有加密材料都隨膠囊一起傳輸。

終端
$ stella capsule verify decision-capsule.yaml --offline
簽名校驗:PASS(ECDSA-P256)
Digest 匹配:           PASS(sha256:abc123...)
策略版本:         VALID(v3.2.1)
證據完整性:     全部元件已簽名
裁決:                ALLOW — 無需網路

獨立信任工件狀態

除了第一方證明之外,評估生產部署的買家通常還要求第三方驗證。本節展示了已經公開的內容和仍在進行中的內容。

現已公開

驗證密鑰、簽名的膠囊示例、確定性重放命令和可導出的證據結構都是公開可用的。

進行中

第三方評估摘要和指定試點案例研究尚未作為公共工件發布。

為了盡職調查

在對具有採購門的團隊進行評估期間,可以確定安全包、架構證據和試點參考討論的範圍。

開始於 驗證碼, 安全包, 和 接觸 索取企業審核材料。

準備好使版本可審核了嗎?

申請訪問 工作原理

閱讀決策膠囊規範 · 查看所有功能