功能
可辯護發布決策背後的技術機制
編排 SCM、註冊表、Consul、Vault 和摘要優先版本控制。鏡像經過漏洞掃描、可達性過濾,每次晋升都可審計。
- → 簽名可達性證明 - 不是猜測,而是精確的調用路徑
- → 確定性重播 - 幾個月後驗證任何決策
- → Lattice
VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明- 衝突是狀態,而不是抑制
這對您的業務意味著什麼
降低可達 CVE 的分流佇列、維持推進裁決可重現,並將稽核回應從敘事重建轉為簽章與重放驗證。
Proof anchors
Each claim links to inspectable evidence artifacts, replay workflow, and specification docs.
證據級四大支柱發布
一流的 SBOM 和 VEX
生成 SPDX/CycloneDX SBOMs,從多個發行者獲取 OpenVEX,解決與K4 晶格邏輯 — 確定性和離線能力。 SBOM軟體物料清單 - 軟體中所有套件和相依性的完整列表 VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明
- → 從容器映像生成
SPDX軟體套件資料交換 - 另一種廣泛用於開源的SBOM開放標準格式3.0.1 與CycloneDX業界廣泛使用的軟體物料清單(SBOM)開放標準格式1.7SBOM軟體物料清單 - 軟體中所有套件和相依性的完整列表 - → 匯入多方簽發的
OpenVEX關於漏洞可利用性的VEX聲明開放標準格式,並用 K4 lattice 解決衝突 - → 從 30+ 安全通告來源匹配
CVE公共漏洞和暴露 - 公開已知安全漏洞的唯一識別碼,熱路徑掃描小於 1 秒
可達性作為證據
三層分析 - 靜態調用圖、二進制符號、運行時 eBPF 探針 - 生成簽名的 DSSE 證明,可顯著減少誤報。 Reachability分析證明易受攻擊的程式碼是否確實被您的應用程式呼叫——過濾掃描器噪聲中的誤報
- → 三層分析:靜態呼叫圖、二進位符號、執行期
eBPF擴展柏克萊封包過濾器 — 一種Linux核心技術,執行沙箱程式實現高效能可觀測性和執行階段分析,無需核心模組探針 - →
DSSEDead Simple Signing Envelope - 用於以加密簽章簽署任意資料的簡單靈活標準簽名證據 — 不是斷言,而是可驗證證據 - → 顯著減少誤報:聚焦 12 個可達
CVE公共漏洞和暴露 - 公開已知安全漏洞的唯一識別碼,而非 487 個理論項
摘要優先版本控制
版本是不可變的OCI摘要集在創建時解析 - 標籤是別名,摘要是真實的,每次拉取都是可檢測篡改的。
- → 發布版本是建立時解析的不可變
OCI開放容器計畫 — 容器映像格式和登錄中心的業界標準digest 集合 - → Tag 只是別名,digest 才是真相 — 每次拉取都可偵測竄改
- → 完整審計鏈:精確知道何時、何地部署了什麼
無代理部署
將容器部署到 Linux(SSH)和 Windows(WinRM)伺服器,採用 canary、rolling 或 blue-green 策略——rollback 會回到已驗證的 digest。
- → 部署到 Docker Compose、Swarm、ECS、Nomad 或腳本主機
- → 透過 SSH (Linux) 與 WinRM (Windows) 執行 — 依設計為無代理。
- → Canary、rolling 與 Blue/Green 策略,支援即時回滾
Stella 的不同之處
大多數工具給的是發現或部署。Stella 給的是證據。
證據,而非斷言
每個決策都有簽名且可重現的證據。審計人員可獨立驗證 — 無需依賴供應商。
Non-Kubernetes 優先
Docker Compose、ECS、Nomad 與腳本主機是主要目標,而非 K8s 設計的附加品。
確定性重播
6 個月後用凍結輸入重播任何決策。相同 SBOM、相同 feeds、相同策略 — 輸出逐位一致。
主權與離線
完全 air-gap 運行,使用簽名 feeds 包。FIPS 對齊、GOST、SM2/SM3、eIDAS 相容的加密配置(驗證取決於所選密鑰提供方)。無強制遙測;僅 opt-in(預設關閉)。
Stella 如何比較
Stella 將掃描、策略和部署結合到一個有證據的平台中。看看它是如何疊加的。
準備好證據級發布了嗎?
使用 Docker Compose 安裝並運行您的第一個經過驗證的促銷。
