可達性作為證據

證明是否真的呼叫了含漏洞的程式碼

三層分析 — 靜態調用圖、二進制符號匹配、運行時 eBPF 探測 — 生成簽名的 DSSE 證明,可顯著減少誤報。

申請訪問 查看所有功能

這對您的業務意味著什麼

僅修復您的應用程式實際可達的漏洞——跳過其餘部分。Stella 證明哪些 CVE 可達,讓您的團隊專注於真實風險,而非掃描器噪聲。 Reachability分析證明易受攻擊的程式碼是否確實被您的應用程式呼叫——過濾掃描器噪聲中的誤報

30 秒高管摘要

最高 70-90%

典型噪音降低

觀察範圍會因技術棧與涵蓋面而異。

3

分析層

靜態呼叫圖、二進位符號、執行期 eBPF 探針

100%

已簽名且可重播

每個可達性裁決都是 DSSE 簽名證據

三層分析

每一層都提供越來越有力的證據,證明您的應用程序代碼可以(或不可)訪問易受攻擊的函數。 CVE公共漏洞和暴露 - 公開已知安全漏洞的唯一識別碼

層 1

靜態調用圖分析

從字節碼、AST 和源代碼中提取調用圖。跟踪從入口點到易受攻擊的符號的路徑。

  • • 語言支持:Go、Rust、C#、Java、Python、JavaScript、C/C++
  • •處理虛擬調度、接口調用、保守近似的反射
  • >• 生成具有每個可訪問性狀態的 DAG節點
層 2

二進制符號分析

將易受攻擊的符號與編譯的二進制導出進行匹配。確認代碼確實已鏈接。

  • • 從 ELF、PE、Mach-O 中提取符號表
  • • 交叉引用 DWARF/PDB 調試信息(如果可用)
層 3

運行時 eBPF 探針

可選的生產分析。捕獲執行期間的實際函數調用。

  • • 基於 Tetragon 的 eBPF擴展柏克萊封包過濾器 — 一種Linux核心技術,執行沙箱程式實現高效能可觀測性和執行階段分析,無需核心模組 工具
  • • 記錄 symbol_id、code_id、hit_count、 loader_base
  • • 隱私保護:未捕獲任何參數值

結果:顯著減少誤報。重點關注 12 個可到達的 CVE,而不是 487 個理論上的。

Implementation: node hash joins

可訪問性證據是內容尋址的,用於重複數據刪除和驗證。節點哈希可實現版本之間的高效差異。 節點哈希 SHA256(normalize(purl) + ":" + normalize(symbol)) 路徑哈希 SHA256(entryNodeHash + ":" + joinedIntermediateHashes + ":" + sinkNodeHash) Top-K 重要路徑保留在證據束中。路徑按執行頻率(來自運行時)或調用深度(來自靜態)進行排名。
Read more

可訪問性證據是內容尋址的,用於重複數據刪除和驗證。節點哈希可實現版本之間的高效差異。

節點哈希

SHA256(normalize(purl) + ":" + normalize(symbol))

路徑哈希

SHA256(entryNodeHash + ":" + joinedIntermediateHashes + ":" + sinkNodeHash)

Top-K 重要路徑保留在證據束中。路徑按執行頻率(來自運行時)或調用深度(來自靜態)進行排名。

未知作為一流狀態

當分析無法確定可達性時,會顯式跟踪不確定性 — 不會隱藏或默默地假定安全。

可達性桶默認權重
入口點1.0
直接呼叫0.85
執行期確認0.45
未知0.5
不可達0.0

最終分數 =所有路徑的 max(bucket_weights)。未知節點有助於風險評分而不是被忽略。

策略門控的可達性覆蓋矩陣

在生產中啟用硬阻止之前,請驗證您自己的代碼語料庫的覆蓋範圍。下面的矩陣描述瞭如何評估每種語言/運行時路徑以及應如何處理未知數。

語言/運行時靜態調用路徑二進制/符號證據運行時證據未知時默認門
Go、Rust、C/C++驗證直接和傳遞調用路徑提取驗證符號/build-id 匹配準確性高風險服務的可選 eBPF 確認按政策審查或阻止關鍵發現
Java 和 JVM 語言驗證方法級可達性和動態調度案例驗證字節碼/jar 符號映射建議用於反射路徑的運行時跟踪將未知數據路由至手動審核通道
。網驗證 IL 調用圖和包沿襲驗證發布版本中的 PDB/符號解析修剪/AOT 場景的運行時確認在做出決定之前審查未知因素
節點、Python、Ruby、PHP驗證框架入口點和動態導入邊界符號證據在設計上是部分動態調度的強烈推薦運行時跟踪將未知保持為明確狀態並需要批准

政策建議:將 unknown 視為一流判決,為每個嚴重性設置明確的閾值,並在證據包中記錄審核者覆蓋原因。

Implementation: signed proofs

每個可達性分析都會生成存儲在內容尋址存儲中的加密簽名證明。 DSSE?Dead Simple Signing Envelope - 用於以加密簽章簽署任意資料的簡單靈活標準 DSSEDead Simple Signing Envelope - 用於以加密簽章簽署任意資料的簡單靈活標準 帶有 in-toto一個透過驗證每個步驟按計畫由授權參與者執行來保護軟體供應鏈的框架 SLSA軟體製品供應鏈安全等級 — 確保軟體製品在整個供應鏈中完整性的框架 謂詞格式的信封 無需網絡訪問即可由審核員驗證 確定性重放產生位相同的結果 離線存檔的圖表和跟踪驗證 內容尋址存儲路徑 cas://reachability_graphs/<hh>/<sha>.tar.zst cas://runtime_traces/<hh>/<sha>.tar.zst
Read more

每個可達性分析都會生成存儲在內容尋址存儲中的加密簽名證明。 DSSEDead Simple Signing Envelope - 用於以加密簽章簽署任意資料的簡單靈活標準

  • DSSEDead Simple Signing Envelope - 用於以加密簽章簽署任意資料的簡單靈活標準 帶有 in-toto一個透過驗證每個步驟按計畫由授權參與者執行來保護軟體供應鏈的框架 SLSA軟體製品供應鏈安全等級 — 確保軟體製品在整個供應鏈中完整性的框架 謂詞格式的信封
  • 無需網絡訪問即可由審核員驗證
  • 確定性重放產生位相同的結果
  • 離線存檔的圖表和跟踪驗證

內容尋址存儲路徑

cas://reachability_graphs/<hh>/<sha>.tar.zst

cas://runtime_traces/<hh>/<sha>.tar.zst

Implementation: eBPF probes

基於 Tetragon 的可選工具可捕獲生產中的實際函數執行,提供最高置信度的可達性證據。 捕獲的探測數據 symbol_id: 規範符號識別碼 code_id: 程式段識別碼 hit_count: 執行頻率 loader_base: 記憶體基底位址 cas_uri: 內容定址參考 探針批量向 /api/v1/observations 提交觀察結果。每個觀察結果都包含底層工件的 CAS URI。
Read more

基於 Tetragon 的可選工具可捕獲生產中的實際函數執行,提供最高置信度的可達性證據。

捕獲的探測數據

symbol_id: 規範符號識別碼

code_id: 程式段識別碼

hit_count: 執行頻率

loader_base: 記憶體基底位址

cas_uri: 內容定址參考

探針批量向 /api/v1/observations 提交觀察結果。每個觀察結果都包含底層工件的 CAS URI。

準備好顯著減少誤報了嗎?

安裝 Stella Ops 並開始通過三層分析生成簽名的可達性證明。

申請訪問 閱讀文檔