安全和負責任的披露

Stella Ops Suite 專為可驗證的發布治理而設計:

  • 版本是聯合簽名
  • 證據導出是DSSEDead Simple Signing Envelope - 用於以加密簽章簽署任意資料的簡單靈活標準-attested
  • 政策和決策可以確定性地重播以供審計

安全與合規包

需要採購就緒的安全文件?該包涵蓋架構、加密配置、記錄/保留與驗證工件。

包含問卷(SIG/CAIQ)、加固指南、SBOM/來源證明與驗證步驟。

報告漏洞

電子郵件: security@stella-ops.org

PGP: 9BCF 5D1D 6EA9 8F99 24F4 6071 B618 ABAF 7D23 C65D 7A86 77E8 2DE3 7815 6126 F723

請包括:

  • 影響+受影響的組件/版本
  • 複製步驟或PoC
  • 相關日誌/屏幕截圖
  • 您的首選披露時間線

我們會在72小時內確認並隨時通知您,直到發布修復程序。

驗證您運行的內容

密鑰:/keys/

驗證容器映像

cosign verify \
  --key https://stella-ops.org/keys/cosign.pub \
  registry.stella-ops.org/stella-ops/stella-ops:<VERSION>

驗證離線套件tarball + 簽名清單

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature stella-ops-offline-kit-<DATE>.tgz.sig \
  stella-ops-offline-kit-<DATE>.tgz

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature offline-manifest-<DATE>.json.jws \
  offline-manifest-<DATE>.json

服務保障

  • 發布完整性:共同簽名 + DSSEDead Simple Signing Envelope - 用於以加密簽章簽署任意資料的簡單靈活標準 捆綁包引用確切的簽名Git標籤
  • 證據鏈:決策膠囊已簽名且可重播(參見/evidence/
  • 訪問日誌:存儲7天,然後ip → sha256(ip)
  • JWT訪問ledger:僅存儲令牌 ID 哈希(無電子郵件/IP)
  • 令牌驗證:可以使用已發布的公鑰進行離線驗證
  • 容器強化:非 root UID、CPU/RAM 限制、SELinux/AppArmor 支持
  • 氣隙奇偶校驗:離線套件(請參閱/offline/)

無強制遙測

Web UI 中沒有分析、跟踪器、像素或第三方 JS。產品遙測默認情況下處於禁用狀態,並且嚴格選擇加入。

隱私詳細信息:/privacy/