功能

可辯護發布決策背後的技術機制

編排 SCM、註冊表、Consul、Vault 和摘要優先版本控制。鏡像經過漏洞掃描、可達性過濾,每次晋升都可審計。

  • 簽名可達性證明 - 不是猜測,而是精確的調用路徑
  • 確定性重播 - 幾個月後驗證任何決策
  • Lattice VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明- 衝突是狀態,而不是抑制

這對您的業務意味著什麼

降低可達 CVE 的分流佇列、維持推進裁決可重現,並將稽核回應從敘事重建轉為簽章與重放驗證。

Proof anchors

Each claim links to inspectable evidence artifacts, replay workflow, and specification docs.

Evidence and Audit | Decision Capsule spec | How it works

30 分鐘內可獲得什麼

安裝

Docker Compose 設定

掃描

SBOM + 可達性

升級

Dev → Staging

導出

決策膠囊

證據級四大支柱發布

一流的 SBOM 和 VEX

生成 SPDX/CycloneDX SBOMs,從多個發行者獲取 OpenVEX,解決與K4 晶格邏輯 — 確定性和離線能力。 SBOM軟體物料清單 - 軟體中所有套件和相依性的完整列表 VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明

  • 從容器映像生成 SPDX軟體套件資料交換 - 另一種廣泛用於開源的SBOM開放標準格式 3.0.1 與 CycloneDX業界廣泛使用的軟體物料清單(SBOM)開放標準格式 1.7 SBOM軟體物料清單 - 軟體中所有套件和相依性的完整列表
  • 匯入多方簽發的 OpenVEX關於漏洞可利用性的VEX聲明開放標準格式,並用 K4 lattice 解決衝突
  • 從 30+ 安全通告來源匹配 CVE公共漏洞和暴露 - 公開已知安全漏洞的唯一識別碼,熱路徑掃描小於 1 秒
了解更多 →

可達性作為證據

三層分析 - 靜態調用圖、二進制符號、運行時 eBPF 探針 - 生成簽名的 DSSE 證明,可顯著減少誤報。 Reachability分析證明易受攻擊的程式碼是否確實被您的應用程式呼叫——過濾掃描器噪聲中的誤報

  • 三層分析:靜態呼叫圖、二進位符號、執行期 eBPF擴展柏克萊封包過濾器 — 一種Linux核心技術,執行沙箱程式實現高效能可觀測性和執行階段分析,無需核心模組 探針
  • DSSEDead Simple Signing Envelope - 用於以加密簽章簽署任意資料的簡單靈活標準 簽名證據 — 不是斷言,而是可驗證證據
  • 顯著減少誤報:聚焦 12 個可達 CVE公共漏洞和暴露 - 公開已知安全漏洞的唯一識別碼,而非 487 個理論項
了解更多 →

摘要優先版本控制

版本是不可變的OCI摘要集在創建時解析 - 標籤是別名,摘要是真實的,每次拉取都是可檢測篡改的。

  • 發布版本是建立時解析的不可變 OCI開放容器計畫 — 容器映像格式和登錄中心的業界標準 digest 集合
  • Tag 只是別名,digest 才是真相 — 每次拉取都可偵測竄改
  • 完整審計鏈:精確知道何時、何地部署了什麼
了解更多 →

無代理部署

將容器部署到 Linux(SSH)和 Windows(WinRM)伺服器,採用 canary、rolling 或 blue-green 策略——rollback 會回到已驗證的 digest。

  • 部署到 Docker Compose、Swarm、ECS、Nomad 或腳本主機
  • 透過 SSH (Linux) 與 WinRM (Windows) 執行 — 依設計為無代理。
  • Canary、rolling 與 Blue/Green 策略,支援即時回滾
了解更多 →

Stella 的不同之處

大多數工具給的是發現或部署。Stella 給的是證據。

證據,而非斷言

每個決策都有簽名且可重現的證據。審計人員可獨立驗證 — 無需依賴供應商。

Non-Kubernetes 優先

Docker Compose、ECS、Nomad 與腳本主機是主要目標,而非 K8s 設計的附加品。

確定性重播

6 個月後用凍結輸入重播任何決策。相同 SBOM、相同 feeds、相同策略 — 輸出逐位一致。

主權與離線

完全 air-gap 運行,使用簽名 feeds 包。FIPS 對齊、GOST、SM2/SM3、eIDAS 相容的加密配置(驗證取決於所選密鑰提供方)。無強制遙測;僅 opt-in(預設關閉)。

Stella 如何比較

Stella 將掃描、策略和部署結合到一個有證據的平台中。看看它是如何疊加的。

工具類別關鍵差異
Trivy / Grype掃描器只有發現 — 無可達性,無編排比較 →
SnykSCA軟體組成分析 — 自動掃描第三方和開源元件以查找已知漏洞和授權風險 平台僅 SaaS,無確定性重播比較 →
Octopus DeployCD 平台無內建安全掃描或證據鏈比較 →
GitHub ActionsCI/CD偏 CI,無發布編排層比較 →
HarnessCD 平台以 K8s 為中心,非 K8s 支援有限比較 →

查看完整比較

準備好證據級發布了嗎?

使用 Docker Compose 安裝並運行您的第一個經過驗證的促銷。