SPDX 3.0.1
最新的 ISO/IEC 5962 標準,具有完整的供應商元數據和 SPDX 許可證表達式。
一流的 SBOM 和 VEX
了解您的內容容器
生成行業標準 SBOM 和應用來自多個來源的 VEX 語句 - 內置智能衝突解決和離線驗證。
這對您的業務意味著什麼
準確了解每個發布包含的內容以及適用哪些安全公告。Stella 生成簽名的 SBOM 並解決衝突的 VEX 聲明,讓合規團隊獲得清晰的全貌。 VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明
行業標準格式
Stella 按照審核員和合規團隊期望的格式生成 SBOM,並具有完整的組件元數據和出處。
CycloneDX 1.7
OWASP CycloneDX,具有集成的 VEX 支持和依賴關係圖擴展。
從 CLI 生成、驗證並發布 SBOM
$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwrite為什麼它很重要
SBOM 正在成為強制性的。 Stella 使它們變得實用。
可重現的結果
相同的圖像,相同的 SBOM — 每次。審核員可以獨立驗證您的結果。
離線工作
在氣隙環境中生成並驗證 SBOM。無需外部調用。
合規性就緒
以簽名且可驗證的 SBOM 支援 EO 14028、EU CRA 與其他供應鏈安全要求。
加密簽名
每個SBOM都經過簽名並防篡改。您可以信賴的證據。
VEX:漏洞上下文
並非每個 CVE 都會影響您。 VEX(漏洞利用交換)聲明讓供應商和您自己的分析能夠說明哪些漏洞對您的特定部署實際上很重要。
受影響
不受影響
修復
正在調查
VEX 消除了噪音:您不使用的庫中的 CVE 不是您的問題。 Stella 自動應用 VEX 語句,讓您將注意力集中在重要的事情上。
這對您的業務意味著什麼
當掃描器意見不一致時,查看所有證據而不是靜默覆蓋。Stella 顯示衝突,讓您的團隊做出明智決策——更少遺漏的漏洞,更少浪費的修復。
How conflict states are computed (advanced)
當多個 VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 來源不一致時,Stella 使用Belnap 的四值邏輯來計算最終狀態。衝突變得可見,而不是隱藏。 ⊥ 未知 尚無信息。任何 VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 語句應用之前的默認狀態。 T 受影響 至少有一個發行人表示此漏洞影響您。 F 不受影響 至少有一個發行人表示您不受影響。 ⊤ 衝突 多個頒發者不同意。需要審查或更高權限的覆蓋。 供應商說“不受影響”,但您的運行時探針看到了被調用的函數?結果:衝突 (⊤) — 分歧是可見的,而不是默默地被壓制。 沒有靜默抑制。沒有隱藏的假設。跟踪並顯示不確定性。Read more
How conflict states are computed (advanced)
當多個
Read moreVEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 來源不一致時,Stella 使用Belnap 的四值邏輯來計算最終狀態。衝突變得可見,而不是隱藏。 ⊥ 未知 尚無信息。任何 VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 語句應用之前的默認狀態。 T 受影響 至少有一個發行人表示此漏洞影響您。 F 不受影響 至少有一個發行人表示您不受影響。 ⊤ 衝突 多個頒發者不同意。需要審查或更高權限的覆蓋。 供應商說“不受影響”,但您的運行時探針看到了被調用的函數?結果:衝突 (⊤) — 分歧是可見的,而不是默默地被壓制。 沒有靜默抑制。沒有隱藏的假設。跟踪並顯示不確定性。當多個 VEX 來源不一致時,Stella 使用Belnap 的四值邏輯來計算最終狀態。衝突變得可見,而不是隱藏。
⊥
未知
尚無信息。任何 VEX 語句應用之前的默認狀態。
T
受影響
至少有一個發行人表示此漏洞影響您。
F
不受影響
至少有一個發行人表示您不受影響。
⊤
衝突
多個頒發者不同意。需要審查或更高權限的覆蓋。
供應商說“不受影響”,但您的運行時探針看到了被調用的函數?結果:衝突 (⊤) — 分歧是可見的,而不是默默地被壓制。
沒有靜默抑制。沒有隱藏的假設。跟踪並顯示不確定性。
Multi-source VEX aggregation (advanced)
供應商、分銷商和您自己的安全團隊都可以發布 VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 聲明。 Stella 通過加權共識聚合它們。 從軟件供應商、Linux 分銷商和內部來源獲取 VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 來源按權威加權 - 您的內部評估可以覆蓋外部評估 衝突會觸發審核工作流程,而不是被審核默默解決 真相的一個視圖 無需處理電子表格和電子郵件,而是獲得有關哪些漏洞實際影響您的版本的單一權威視圖。Read more
Multi-source VEX aggregation (advanced)
供應商、分銷商和您自己的安全團隊都可以發布
Read moreVEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 聲明。 Stella 通過加權共識聚合它們。 從軟件供應商、Linux 分銷商和內部來源獲取 VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 來源按權威加權 - 您的內部評估可以覆蓋外部評估 衝突會觸發審核工作流程,而不是被審核默默解決 真相的一個視圖 無需處理電子表格和電子郵件,而是獲得有關哪些漏洞實際影響您的版本的單一權威視圖。供應商、分銷商和您自己的安全團隊都可以發布 VEX 聲明。 Stella 通過加權共識聚合它們。
- 從軟件供應商、Linux 分銷商和內部來源獲取
VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 - 來源按權威加權 - 您的內部評估可以覆蓋外部評估
- 衝突會觸發審核工作流程,而不是被審核默默解決
真相的一個視圖
無需處理電子表格和電子郵件,而是獲得有關哪些漏洞實際影響您的版本的單一權威視圖。
準備好實現實際的 SBOM 合規性了嗎?
安裝 Stella Ops 並開始生成具有多源 VEX 支持的審計就緒 SBOM。