SPDX 3.0.1
Останній стандарт ISO/IEC 5962 із повними метаданими постачальника та виразами ліцензії SPDX.
Першокласний SBOM & VEX
Знайте, що у ваших контейнерах
Генеруйте галузевий стандарт SBOMs і застосовуйте VEX твердження з багатьох джерел — завдяки інтелектуальному розв’язанню конфліктів і вбудованій офлайн-перевірці.
Стандартні формати промисловості
Stella генерує SBOM у форматах, які очікують ваші аудитори та групи контролю відповідності, із повними метаданими компонентів і походженням.
CycloneDX 1.7
OWASP CycloneDX з інтегрованою підтримкою VEX і розширеннями графіка залежностей.
Створіть, перевірте та опублікуйте SBOMs з CLI
$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwriteЧому це важливо
SBOMs стають обов’язковими. Stella робить їх практичними.
Відтворювані результати
Те саме зображення, той самий SBOM — кожного разу. Аудитори можуть перевірити ваші результати незалежно.
Працює Офлайн
Генеруйте та перевіряйте SBOM у закритих середовищах. Зовнішні дзвінки не потрібні.
Готовий для відповідності
Відповідає EO 14028, ЄС CRA та вимогам безпеки ланцюга постачання за допомогою підписаних, які можна перевірити SBOMs.
Криптографічний підпис
Кожен SBOM підписано та захищено від втручання. Докази, яким можна довіряти.
VEX: Контекст для вразливостей
Не кожен CVE впливає на вас. Заяви VEX (Vulnerability Exploitability eXchange) дозволяють постачальникам і вашому власному аналізу визначити, які вразливості насправді важливі для вашого конкретного розгортання.
Це стосується
Не впливає
Виправлено
Розслідується
VEX розсіює шум: CVE у бібліотеці, якою ви не користуєтеся, не є вашою проблемою. Stella автоматично застосовує оператори VEX, щоб зосередити вашу увагу на важливому.
K4 Belnap Lattice: розумне вирішення конфліктів
Якщо кілька джерел VEX не погоджуються, Stella використовує Чотиризначна логіка Белнапа для обчислення остаточного стану. Конфлікти стають видимими, а не прихованими.
⊥
Невідомо
Інформації поки немає. Стандартний стан перед застосуванням будь-якого оператора VEX.
Т
Це стосується
Принаймні один емітент каже, що ця вразливість впливає на вас.
F
Не впливає
Принаймні один емітент каже вас це не вплине.
⊤
Конфлікт
Кілька емітентів не згодні. Потрібна перевірка або заміна вищим органом.
Постачальник каже, що «не зазнає впливу», але ваш зонд виконання побачив виклик функції? Результат: Конфлікт (⊤) — незгода видима, а не мовчки придушена.
Без тихого придушення. Ніяких прихованих припущень. Невизначеність відстежується та виявляється.
Кілька джерел VEX Консенсус
Постачальники, дистриб’ютори та ваша власна команда безпеки можуть публікувати заяви VEX. Stella агрегує їх із зваженим консенсусом.
- Ввести VEX від постачальників програмного забезпечення, розповсюджувачів Linux і внутрішніх джерел
- Джерела зважені за повноваженнями — ваші внутрішні оцінки можуть перекривати зовнішні
- Конфлікти викликають робочі цикли перегляду, а не тихо вирішуються
One View of Truth
Замість того, щоб жонглювати електронними таблицями та електронними листами, отримайте єдине авторитетне уявлення про те, які вразливості насправді впливають на ваш випуск.
Готовий до практичної відповідності SBOM?
Встановіть Stella Ops і почніть генерувати готові до аудиторів SBOM з підтримкою VEX з кількох джерел.