Досяжність як доказ
Трирівневий аналіз — статичні графіки викликів, зіставлення двійкових символів, зонди eBPF під час виконання — створює підписані докази DSSE, які значно зменшують помилкові спрацьовування.
Що це означає для вашого бізнесу
Виправляйте лише вразливості, які ваш застосунок дійсно може зачепити — решту пропускайте. Пакет „Стела“ доводить, які CVE досяжні, щоб команда зосередилася на реальних ризиках, а не на шумі сканерів. ReachabilityАналіз, що доводить, чи дійсно вразливий код викликається вашим застосунком — фільтрація хибних спрацьовувань з шуму сканерів
До 70–90 %
Типове зниження шуму
Спостережуваний діапазон залежить від стеку та покриття.
3
Шари аналізу
Статичні графи викликів, бінарні символи, зонди eBPF у виконанні
100%
Підписано й відтворювано
Кожен вердикт досяжності — доказ, підписаний DSSE
Кожен рівень надає дедалі вагоміші докази того, що вразлива функція доступна (чи не доступна) із вашої програми код. CVECommon Vulnerabilities and Exposures – унікальний ідентифікатор публічно відомої вразливості безпеки
Витягти графіки викликів із байт-коду, AST і вихідного коду. Відстежуйте шляхи від точок входу до вразливих символів.
Поставте вразливі символи зі скомпільованим двійковим експортом. Підтверджує, що код дійсно пов’язано.
Додаткове профілювання виробництва. Захоплює фактичні виклики функцій під час виконання.
eBPFExtended Berkeley Packet Filter — технологія ядра Linux, що виконує ізольовані програми для високопродуктивного моніторингу та аналізу середовища виконання без модулів ядра на основі TetragonРезультат: значно менше помилкових спрацьовувань. Зосередьтеся на 12 доступних CVE замість 487 теоретичних.
Свідчення доступності адресовано вмісту для дедуплікації та перевірки. Хеші вузлів забезпечують ефективну різницю між версіями.
Хеш вузла
SHA256(normalize(purl) + ":" + normalize(symbol))
Хеш шляху
SHA256(entryNodeHash + ":" + joinedIntermediateHashes + ":" + sinkNodeHash)
Top-K значущих шляхів зберігаються в наборі доказів. Шляхи ранжуються за частотою виконання (від часу виконання) або глибиною виклику (від статики).
Якщо аналіз не може визначити доступність, невизначеність відстежується явно — не приховується або мовчки вважається безпечною.
| Відро доступності | Вага за замовчуванням |
|---|---|
| Точка входу | 1.0 |
| Прямий виклик | 0.85 |
| Підтверджено в рантаймі | 0.45 |
| Невідомо | 0.5 |
| Недосяжно | 0.0 |
Кінцева оцінка = max(bucket_weights) по всіх шляхах. Невідомі вузли сприяють підрахунку ризиків, а не ігноруються.
Перш ніж увімкнути жорстке блокування у виробництві, перевірте покриття у своєму власному корпусі коду. Наведена нижче матриця описує, як оцінити кожну мову/шлях виконання та як слід обробляти невідомі дані.
| Мова/час виконання | Статичний шлях виклику | Двійкові/символьні докази | Докази часу виконання | Ворота за замовчуванням, коли невідомо |
|---|---|---|---|---|
| Вперед, Rust, C/C++ | Перевірка прямого та транзитивного вилучення шляху виклику | Перевірте точність відповідності символу/ідентифікатора збірки | Додаткове підтвердження eBPF для послуг із високим ризиком | Перегляд або блокування критичних висновків відповідно до політики |
| Мови Java та JVM | Перевірте досяжність на рівні методу та випадки динамічної диспетчеризації | Перевірте зіставлення символів байт-коду/jar | Трасування часу виконання рекомендовано для рефлексивних шляхів | Невідомий маршрут до смуги ручного перегляду |
| .NET | Перевірте графік викликів IL і походження пакетів | Перевірте роздільну здатність PDB/символів у збірках випусків | Підтвердження часу виконання для сценаріїв урізаних/AOT | Перегляньте невідомі, перш ніж дозволити рішення |
| Node, Python, Ruby, PHP | Перевірте точки входу в структуру та динамічні межі імпорту | Символьне свідоцтво є частковим за дизайном для динамічного відправлення | Настійно рекомендується трасування часу виконання | Зберігати невідомі як явні та вимагати схвалення |
Політична рекомендація: розглядайте unknown як першокласний вердикт, встановіть чіткі порогові значення для кожного рівня серйозності та реєструйте причини перевизначення рецензентом у наборі доказів.
DSSEDead Simple Signing Envelope – простий гнучкий стандарт для підпису довільних даних криптографічними підписами конверт із in-totoФреймворк для захисту ланцюга постачання ПЗ шляхом перевірки, що кожен крок було виконано за планом і авторизованими учасниками форматом предикату SLSASupply-chain Levels for Software Artifacts — фреймворк для забезпечення цілісності програмних артефактів у всьому ланцюгу постачання Перевіряється аудиторами без доступу до мережі Детермінізоване відтворення дає бітово-ідентичні результати Графік і трасування заархівовано для перевірки в режимі офлайн Шляхи зберігання з адресою вмісту cas://reachability_graphs/<hh>/<sha>.tar.zst cas://runtime_traces/<hh>/<sha>.tar.zstКожен аналіз доступності створює підтвердження з криптографічним підписом, яке зберігається в сховищі з адресою вмісту. DSSEDead Simple Signing Envelope – простий гнучкий стандарт для підпису довільних даних криптографічними підписами
DSSEDead Simple Signing Envelope – простий гнучкий стандарт для підпису довільних даних криптографічними підписами конверт із in-totoФреймворк для захисту ланцюга постачання ПЗ шляхом перевірки, що кожен крок було виконано за планом і авторизованими учасниками форматом предикату SLSASupply-chain Levels for Software Artifacts — фреймворк для забезпечення цілісності програмних артефактів у всьому ланцюгу постачанняШляхи зберігання з адресою вмісту
cas://reachability_graphs/<hh>/<sha>.tar.zst
cas://runtime_traces/<hh>/<sha>.tar.zst
Додатковий інструментарій на основі Tetragon фіксує фактичне виконання функцій у виробництві, забезпечуючи найдостовірніші докази доступності.
Захоплені дані зонду
symbol_id: канонічний ідентифікатор символу
code_id: ідентифікатор секції коду
hit_count: частота виконання
loader_base: базова адреса в пам’яті
cas_uri: посилання з адресацією за вмістом
Зонди надсилають спостереження в /api/v1/observations пакетами. Кожне спостереження включає CAS URI для основного артефакту.
Установіть пакет „Стела“ і почніть створювати підписані докази досяжності з трирівневим аналізом.