安全和負責任的披露
Stella Ops Suite 專為可驗證的發布治理而設計:
版本是聯合簽名 證據導出是DSSEDead Simple Signing Envelope - 用於以加密簽章簽署任意資料的簡單靈活標準-attested 政策和決策可以確定性地重播以供審計
報告漏洞
電子郵件: security@stella-ops.org
PGP: 9BCF 5D1D 6EA9 8F99 24F4 6071 B618 ABAF 7D23 C65D 7A86 77E8 2DE3 7815 6126 F723
請包括:
- 影響+受影響的組件/版本
- 複製步驟或PoC
- 相關日誌/屏幕截圖
- 您的首選披露時間線
我們會在72小時內確認並隨時通知您,直到發布修復程序。
驗證您運行的內容
密鑰:/keys/
驗證容器映像
cosign verify \
--key https://stella-ops.org/keys/cosign.pub \
registry.stella-ops.org/stella-ops/stella-ops:<VERSION> 驗證離線套件tarball + 簽名清單
cosign verify-blob \
--key https://stella-ops.org/keys/cosign.pub \
--signature stella-ops-offline-kit-<DATE>.tgz.sig \
stella-ops-offline-kit-<DATE>.tgz
cosign verify-blob \
--key https://stella-ops.org/keys/cosign.pub \
--signature offline-manifest-<DATE>.json.jws \
offline-manifest-<DATE>.json 服務保障
發布完整性:共同簽名 +DSSEDead Simple Signing Envelope - 用於以加密簽章簽署任意資料的簡單靈活標準捆綁包引用確切的簽名Git標籤 證據鏈:決策膠囊已簽名且可重播(參見/evidence/) 訪問日誌:存儲7天,然後ip → sha256(ip) JWT訪問ledger:僅存儲令牌 ID 哈希(無電子郵件/IP) 令牌驗證:可以使用已發布的公鑰進行離線驗證 容器強化:非 root UID、CPU/RAM 限制、SELinux/AppArmor 支持 氣隙奇偶校驗:離線套件(請參閱/offline/)
無強制遙測
Web UI 中沒有分析、跟踪器、像素或第三方 JS。產品遙測默認情況下處於禁用狀態,並且嚴格選擇加入。
隱私詳細信息:/privacy/
