Оркестрація релізів

Просування, які доводять себе самі

Робочі процеси з урахуванням середовищ, контрольні точки політики та ідентифікація за дайджестом. Кожне рішення про реліз експортує криптографічно підписану Капсулу рішення.

Запитати доступ Читати документацію

Проблема типових CD-інструментів

Більшість інструментів розгортання кажуть, що було розгорнуто. Вони не можуть сказати, чому це було безпечно розгортати.

Типові CD-інструменти

  • Релізи на основі тегів — змінювані, невідстежувані
  • Схвалення відокремлені від артефактів
  • Немає доказів стану безпеки на момент розгортання
  • Відкат — це «розгорни і сподівайся»

Оркестрація «Стелли»

  • Ідентифікація за дайджестом — незмінна, аудитована
  • Схвалення прив'язані до точного хешу артефакту
  • Вердикти безпеки записані в Капсулах рішень
  • Відкат до відомого доброго стану з доказами

Основні можливості оркестрації

Ідентифікація релізу за дайджестом

Релізи ідентифікуються за SHA-256 дайджестами з адресацією за вмістом, а не за змінюваними тегами. Той самий дайджест = той самий артефакт = ті самі докази.

  • Розв'язання тегу → дайджесту під час просування
  • Докази повторно використовуються при просуванні того ж дайджесту
  • Незмінний ланцюг відповідальності

Просування з урахуванням середовищ

Моделюйте свій конвеєр як середовища з правилами просування. Dev → Stage → Prod з контрольними точками доказів на кожному кроці.

  • Правила просування та вимоги до схвалення для кожного середовища
  • Вікна заморозки з блокуванням за календарем
  • Профілі політик для конкретних середовищ

Контрольні точки політики на кожному кроці

Просування вимагають проходження контрольних точок. Вердикти безпеки, підписи схвалення та вікна заморозки — все оцінюється.

  • Контрольна точка безпеки — вердикт сканування має відповідати порогу
  • Контрольна точка схвалення — зібрано необхідні підписи
  • Користувацькі контрольні точки через політики OPAOpen Policy Agent — відкритий движок політик для детальної контекстно-залежної перевірки політик на всіх рівнях стеку/Rego

Відкат з доказовою базою

Відкат до попереднього дайджесту з повним слідом доказів. Точно знайте, до чого повертаєтесь.

  • Відкат на конкретний дайджест, а не на «попередню версію»
  • Докази з початкового просування збережено
  • Сам відкат генерує нову Капсулу рішення

Інкрементальні стратегії розгортання

Поступові розгортання з доказами на кожному кроці. A/B-тестування, canary та розгортання з feature-flags із безпекою відкату.

  • A/B та canary-розгортання з розподілом трафіку
  • Релізи з feature-flags (перезавантаження nginx, плагіни мікросервісів)
  • Інкрементальне розгортання з автоматичними тригерами відкату

Подивіться в дії

Кожна команда просування виводить структуровані докази.

Термінал
$ stella release promote api-gateway --to staging --approve
Просування api-gateway (sha256:abc123...) до staging
Security gate: PASSED — 8 досяжних CVE нижче порогу
Approval gate: PASSED — підписано jsmith@example.com
Freeze вікно: PASSED — активного freeze немає
Запуск розгортання на staging-cluster...
Розгорнуто успішно
Капсула рішень експортована: staging-abc123-2026-01-20.yaml

Можливості рушія робочих процесів

Виконання DAG

Графи кроків з паралельним та послідовним виконанням.

Реєстр кроків

Вбудовані кроки плюс користувацька автоматизація.

Шаблони робочих процесів

Багаторазові робочі процеси для різних проектів.

Скриптові кроки

Bash та .NET скриптинг для користувацької логіки.

Вікна заморозки

Блокування розгортань за календарем.

Експорт аудиту

Пакети доказів, готові для комплаєнсу.

Що робить це унікальним

Капсули рішень

Кожне просування запечатане в експортований, відтворюваний пакет доказів.

Детерміноване відтворення

Повторіть будь-яке рішення про просування через 6 місяців з ідентичними результатами.

Зв'язок з доказами

Схвалення, вердикти та артефакти пов'язані криптографічними хешами.

Шаблони розгортання

Розгортання A/B

Направляти трафік між двома версіями випуску. Порівняйте показники, а потім надайте докази переможцю.

Canary випуск

Спочатку розгортайте для невеликого відсотка цілей. Просувати ширше лише після проходження воріт доказів.

Перемикання Blue/Green

Підтримуйте два ідентичних середовища. Перемикайте трафік атомарно після оцінки політики.

Повернення до відомого-хорошого

Миттєво повернутися до останнього відомого-доброго дайджесту. Зберігаються докази просування вперед і відкату.

Готові до оркестрації з доказами?

Почніть з налаштування середовищ та вашого першого просування.

Запитати доступ Читати документацію

Рушій доказів · Прийняття рішень з безпеки · Усі можливості