Підключити. Упакувати. Контролювати. Розгорнути.

Підключіть вихід CI і цілі розгортання, оцініть політику на доказах, прив'язаних до хеша, а потім просувайте релізи з підписаними записами. Результат: менше досяжних CVE на розгляді, детерміноване відтворення та швидша відповідь аудиторам.

Запитати доступ Читати документацію

Proof anchors

Each claim links to inspectable evidence artifacts, replay workflow, and specification docs.

Proof and methodology links: Evidence and Audit | Decision Capsule spec | Operations and Deployment

Після початкового налаштування ви матимете:

  • 1. Ваш перший образ, відсканований за допомогою SBOMSoftware Bill of Materials – повний перелік усіх пакетів та залежностей вашого ПЗ + аналізу досяжності
  • 2. Підписана капсула рішень, що підтверджує результати сканування
  • 3. Один повний перехід від розробника до постановки з доказами

Де місце пакета „Стела“

Пакет „Стела“ знаходиться між вашим CI та серверами. CI збирає образи. Пакет „Стела“ вирішує, чи можна їх просунути, розгортає на не-Kubernetes-цілі (Compose, SSH/WinRM, ECS, Nomad) та експортує докази для аудиту.

Огляд архітектури

Контрольна площина Пакета „Стела“ знаходиться між вашими входами (CI/CD, реєстри, фіди) і виходами (цілі розгортання, системи аудиту). Докази проходять крізь неї та запечатуються на кожному кроці.

Stella Ops Architecture Diagram
Архітектура пакету „Стела“ — самостійно розміщена з модулями для кожного рівня та можливістю розширення через плагіни

Життєвий цикл релізу — швидкий огляд

Підключіть, зберіть, пройдіть контрольну точку, розгорніть і експортуйте Капсулу рішення з доказами, прив’язаними до хеша артефакту.

Діаграма життєвого циклу релізуПідключитиЗібратиКонтрольна точкаРозгорнутиКапсула рішеньДокази запечатуються на кожному кроці
1

Підключити реєстр, SCM, CI та інфраструктуру

Зв'яжіть ваші реєстри контейнерів, CI-пайплайни та компоненти інфраструктури для побудови книги релізів на основі хешів. Пакет „Стела“ відстежує нові образи та координується з вашою існуючою інфраструктурою.

Джерело та реєстр

  • → Docker Hub, Харбор, ECR, GCR, ACR
  • → GitHub, GitLab, Bitbucket Webhooks
  • → Дженкінс, GitHub Actions, GitLab CI

Інфраструктура

  • HashiCorp Vault для секретів
  • HashiCorp Consul для реєстру сервісів
  • SSH/WinRM для віддалених цілей (без агентів за задумом)
2

Створити бандл релізу

Захопіть хеші артефактів, SBOM та походження як єдину одиницю просування. Бандл проходить через середовища, накопичуючи докази на кожному кроці.

  • → Генерація SBOMSoftware Bill of Materials – повний перелік усіх пакетів та залежностей вашого ПЗ CycloneDXВідкритий стандартний формат для SBOM, що використовується в усій галузі / SPDXSoftware Package Data Exchange – ще один відкритий формат для SBOM, широко використовуваний в open source
  • → Атестація походження SLSASupply-chain Levels for Software Artifacts — фреймворк для забезпечення цілісності програмних артефактів у всьому ланцюгу постачання
  • → Адресована за вмістом ідентифікація артефакту (SHA-256)
3

Контролювати з гібридною досяжністю + політикою

Оцінюйте політику проти доказів на кожному просуванні. Гібридний аналіз досяжності використовує три рівні для визначення того, які вразливості ваш код фактично викликає:

1. Статичний аналіз

Видобування графа викликів з байт-коду/вихідного коду

2. Аналіз маніфестів

Оператори import/require, дерева залежностей

3. Трасування під час виконання

Опціональні дані профілювання для підвищеної впевненості

Термінал
$ stella gate evaluate --env stage --artifact sha256:abc123...
 487 CVE знайдено в залежностях
 475 НЕ ДОСЯЖНІ (гібридний аналіз)
! 12 ДОСЯЖНІ (оцінені політикою)
Вердикт політики: ПРОЙДЕНО — 12 досяжних CVE нижче порогу
Оцінку контрольної точки збережено: evidence/gate-stage-2025-07-15.json

Результат: значно менше хибних спрацювань порівняно з традиційним підрахунком CVE.

4

Розгорнути + експортувати Капсулу рішення

Виконайте розгортання на ваші цілі та експортуйте підписаний пакет доказів. Налаштуйте середовища через SSH/WinRM або використовуйте вбудовані провайдери — усі розгортання без агентів за задумом.

Цілі розгортання

  • → Розгортання Docker Compose
  • → AWS ECS / Fargate
  • → HashiCorp Nomad
  • → Скриптові розгортання (.NET 10)

Налаштування середовища

  • SSH для Linux/Unix цілей
  • WinRM для Windows цілей
  • Vault для ін'єкції секретів
  • Consul для виявлення сервісів

Капсули рішень підписані DSSE та містять все для експорту аудиту та детермінованого відтворення.

Різниця досяжності

Без досяжності

  • 487 CVECommon Vulnerabilities and Exposures – унікальний ідентифікатор публічно відомої вразливості безпеки для сортування
  • Дні розслідування
  • Немає аудиторського сліду
  • Вгадувати експлуатованість
  • Разові винятки

З пакетом „Стела“

  • 12 досяжних CVECommon Vulnerabilities and Exposures – унікальний ідентифікатор публічно відомої вразливості безпеки для виправлення
  • Години до вирішення
  • Експорт Капсули рішення
  • Доказ шляхів викликів
  • Контрольні точки, керовані політикою

Що отримують аудитори

Кожна Капсула рішення містить:

  • Точний дайджест артефакту (SHA-256)
  • Знімок SBOMSoftware Bill of Materials – повний перелік усіх пакетів та залежностей вашого ПЗ (CycloneDXВідкритий стандартний формат для SBOM, що використовується в усій галузі/SPDXSoftware Package Data Exchange – ще один відкритий формат для SBOM, широко використовуваний в open source)
  • Докази досяжності (підписані графи)
  • Версія політики + вердикт
  • Стан VEXVulnerability Exploitability eXchange – машинозчитувані твердження про те, чи є вразливості реально експлуатованими у вашому контексті (вирішено за lattice)
  • Підписані записи схвалень

Аудитори можуть незалежно перевірити підписи та відтворити рішення офлайн за допомогою stella replay.

Готові побачити в дії?

Запитати доступ Читати документацію

Переглянути всі можливості | Докази та аудит | Документація