Stella 在技術發布流程中的定位

安全主管、平台主管與合規團隊使用 Stella 來降低可達 CVE 分流噪音、維持推進決策的確定性,並在 non-Kubernetes 目標上產出可稽核證據。

小型團隊免費:最多 3 個環境,每月 999 次掃描

申請訪問 閱讀文檔

Evidence paths for these outcomes

Each use case links to inspectable artifacts and runbooks, not marketing summaries.

Evidence and Audit | Operations and Deployment | Offline operation

安全性

僅可訪問 CVEs

  • → 使用可達性上下文對 CVE 進行分類 - 專注於實際可利用的內容
  • → 使用明確的預算跟踪未知(未修補、未修復、有爭議)
  • → 為下游生成簽名的 VEX 聲明消費者
  • → 審查版本之間的風險增量,而不是整個SBOMs

典型結果:需要調查的 CVE 顯著減少

了解可達性 →

平台

非 K8s 發布控制

  • → 使用批准門定義升級圖(開發→暫存→生產)
  • → 部署到 Compose、Swarm、ECS、Nomad 或腳本化主機
  • → 與現有 CI(GitHub Actions、GitLab CI、Jenkins)集成
  • → 使用摘要優先版本控制 - 不可變的工件,不可變的責任

典型結果:涵蓋所有非 K8s 目標的安全 + 部署單一視圖

了解部署 →

合規性

可導出的審核包

  • → 為任何歷史版本導出決策膠囊
  • → 幾個月後使用凍結輸入重播決策 - 相同結果
  • → 支援 SOC 2、FedRAMP 和供應鏈合規所需的審計證據
  • → 無供應商鎖定:膠囊是獨立的,可離線驗證

典型結果:藉由可匯出膠囊將審計準備從數天縮短到數分鐘

了解證據 →

氣隙

完全離線操作

  • → 使用離線工具包(簽名的 feed 包)完全離線運行
  • → 選擇加密配置文件:FIPS 對齊、GOST、SM2/SM3、eIDAS 相容(驗證取決於所選密鑰提供方)
  • → 無強制遙測;產品遙測是可選的
  • → 將膠囊導出到外部網絡進行外部審計

典型結果:斷線環境完整安全掃描,週更包

離線部署 →

範例流程

簡短可重複的流程,以簽署的 Decision Capsule 結束。

安全分級流程

  1. 匯入 SBOM軟體物料清單 - 軟體中所有套件和相依性的完整列表 + 通告
  2. 執行可達性分析 + VEX漏洞可利用性交換 - 關於漏洞是否在您的情境中實際可利用的機器可讀聲明 解析
  3. 以政策門控推廣
  4. 匯出 Decision Capsule簽名的可匯出證據包,封裝發布決策的每個輸入和輸出,用於離線稽核和確定性重放 供稽核

整合: 映像倉庫、通告來源、OpenVEX 來源、工單/ChatOps

平台發佈流程

  1. 將發佈綁定到不可變 digest
  2. 逐級推廣 Dev -> Stage -> Prod
  3. 透過 Compose/SSH/WinRM 目標部署
  4. 回滾到最後已知良好的 digest

整合: SCM/CI、映像倉庫、部署目標、機密與服務探索

合規證據流程

  1. 為發佈匯出 Decision Capsule簽名的可匯出證據包,封裝發布決策的每個輸入和輸出,用於離線稽核和確定性重放
  2. 離線驗證簽章與清單
  3. 以凍結輸入重放決策
  4. 向稽核方交付證據

整合: 證據匯出、簽名金鑰、稽核系統

隔離環境更新流程

  1. 下載已簽署的 Offline Kit
  2. 將來源與映像匯入隔離倉庫
  3. 本地執行掃描與政策門控
  4. 匯出膠囊供外部審查

整合: Offline Kit、內部倉庫、傳輸媒體

真實場景

SOC 團隊分流

500 CVE公共漏洞和暴露 - 公開已知安全漏洞的唯一識別碼 → 12 可達。專注真正重要的。

安全營運團隊使用可達性分析降低警報噪音,並優先處理在其執行環境中真正可被利用的弱點。

變更諮詢委員會(CAB)

簽名核准與完整稽核軌跡——沒有郵件串。

CAB 審查人員在每個升級請求中都會收到決策膠囊:精確的 SBOM、可達性證據、策略裁決與簽名核准。不再追逐郵件中的截圖。

離線隔離(Air‑gapped)部署

每週簽名包更新——在離線環境中產生相同掃描結果。

主權或機密網路中的團隊透過簽名 Offline Kit 包,取得與連線部署相同的漏洞情報。掃描可確定且可重播。

部署案例

受監管 SaaS 營運商

一家受監管的 SaaS 營運商採用 Stella Ops 在數十個環境中管理非 Kubernetes 發布,無需增加人員。

  • CVE公共漏洞和暴露 - 公開已知安全漏洞的唯一識別碼 分類時間從每週約 12 小時減少到約 2 小時,專注於可達程式碼路徑
  • 稽核準備從數天縮短到數小時,使用決策膠囊和確定性重放
  • 在 6 個團隊和 3 個地區標準化推進閘門

氣隙隔離國防承包商

一家運行機密工作負載的國防承包商採用 Stella Ops,在完全斷網的網路中保持漏洞感知和發布治理。

  • 透過簽名 Offline Kit 套件在氣隙隔離和聯網環境之間實現相同的掃描結果
  • 透過自動化簽名證據匯出消除手動 CVE公共漏洞和暴露 - 公開已知安全漏洞的唯一識別碼 試算表追蹤
  • 透過決策膠囊重放通過外部稽核,零證據缺口

金融科技平台團隊

一個金融科技平台團隊使用 Stella Ops 將 Trivy 掃描、手動審批和部署指令碼的脆弱組合替換為單一的稽核級管線。

  • 透過可達性過濾將 CVE公共漏洞和暴露 - 公開已知安全漏洞的唯一識別碼 誤報噪音減少約 80%
  • 透過策略閘門自動推進將平均生產上線時間從 4 天縮短到不到 1 天
  • 在 40+ 微服務上統一發布治理,無需逐服務工具

結果因技術堆疊和策略成熟度而異。指標具有代表性,非保證值。

試點結果

設計合作夥伴的量化成果——即將推出。有興趣運行試點項目?請聯繫我們。

聯繫銷售

什麼是證據包?

決策膠囊密封證據,以便審核員可以離線、獨立、逐位驗證任何發布相同。

內容

每個決策膠囊捆綁了確切的 SBOM、凍結漏洞源、可達性圖、策略版本、派生 VEX 和批准元數據。

重播

使用 stella replay 以相同輸入重跑歷史決策,並驗證得到相同結果。

完整證據文件 →

主權就緒意味著什麼

主權意味著您控制基礎設施、密鑰和證據。 Stella Ops 在沒有強制外部依賴的情況下運行,並為每個發布決策生成可驗證的證據。

自託管控制平面

沒有強制的 SaaS 依賴。在您的基礎設施上部署整個套件 - 本地、私有云或氣隙網絡。

氣隙/離線優先操作

漏洞源和驗證數據通過簽名包移動。核心決策無需強制外部出口即可發揮作用。

區域加密配置文件

合規驅動加密的插件架構。FIPS 對齊、GOST R 34.10、SM2/SM3 或 eIDAS 相容簽名(驗證取決於所選密鑰提供方)。

完整主權文件 → | Offline Kit →

申請訪問 閱讀文檔

了解更多 | 閱讀文檔