連接 CI 輸出與部署目標,在與 digest 綁定的證據上執行策略評估,再以簽名紀錄推進。結果是審查中的可達 CVE 更少、裁決可確定性重放、稽核回應更快。
Proof anchors
Each claim links to inspectable evidence artifacts, replay workflow, and specification docs.
Proof and methodology links: Evidence and Audit | Decision Capsule spec | Operations and Deployment
SBOM軟體物料清單 - 軟體中所有套件和相依性的完整列表 + 可達性分析Stella 位於您的 CI 和伺服器之間。CI 建置映像。Stella 決定是否可以晉升,將其部署到非 Kubernetes 目標(Compose、SSH/WinRM、ECS、Nomad),並匯出稽核證明。
Stella Ops 控制平面位於輸入(CI/CD、映像倉庫、feeds)與輸出(部署目標、稽核系統)之間。證據在其中流轉,並在每一步被封存。
連接、打包、門禁、部署,並匯出與工件 digest 綁定證據的決策膠囊。
鏈接您的容器註冊表、CI 管道和基礎設施組件以構建摘要優先的發布分類帳。 Stella 監視新圖像並與您現有的基礎設施進行協調。
捕獲工件摘要、SBOMs 和出處作為單個升級單元。該包遍歷環境,在每個步驟中積累證據。
CycloneDX業界廣泛使用的軟體物料清單(SBOM)開放標準格式 / SPDX軟體套件資料交換 - 另一種廣泛用於開源的SBOM開放標準格式 SBOM軟體物料清單 - 軟體中所有套件和相依性的完整列表生成SLSA軟體製品供應鏈安全等級 — 確保軟體製品在整個供應鏈中完整性的框架出處證明在每次促銷時根據證據評估政策。 混合可達性分析使用三層來確定您的代碼實際調用的漏洞:
從字節碼/源代碼提取調用圖
導入/需要語句、依賴項樹
可選分析數據以提高置信度
$ stella gate evaluate --env stage --artifact sha256:abc123...
✓ 在相依項中發現 487 個 CVE
✓ 475 個不可達(混合分析)
! 12 個可達(依策略評估)
策略裁決:PASS — 12 個可達 CVE 低於門檻
Gate 評估已保存:evidence/gate-stage-2025-07-15.json結果:與傳統的 CVE 計數相比,顯著減少誤報。
執行部署到您的目標並匯出簽名證據包。透過 SSH/WinRM 配置環境或使用內建提供程序——所有部署均為按設計無代理。
決策膠囊經過 DSSE 簽名,並包含用於審計導出和確定性重放的所有內容。
CVE公共漏洞和暴露 - 公開已知安全漏洞的唯一識別碼 至分類每個決策膠囊包含:
SBOM軟體物料清單 - 軟體中所有套件和相依性的完整列表 快照(CycloneDX業界廣泛使用的軟體物料清單(SBOM)開放標準格式/SPDX軟體套件資料交換 - 另一種廣泛用於開源的SBOM開放標準格式)VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 狀態(網格解析)審核員可以獨立驗證簽名並使用 stella replay 離線重播決策。