SPDX 3.0.1
Останній стандарт ISO/IEC 5962 із повними метаданими постачальника та виразами ліцензії SPDX.
Першокласний SBOM & VEX
Знайте, що у ваших контейнерах
Генеруйте галузевий стандарт SBOMs і застосовуйте VEX твердження з багатьох джерел — завдяки інтелектуальному розв’язанню конфліктів і вбудованій офлайн-перевірці.
Що це означає для вашого бізнесу
Точно знайте, що міститься в кожному релізі та які рекомендації застосовуються. Пакет „Стела“ генерує підписані SBOM та розв'язує суперечливі VEX-твердження, щоб команди відповідності отримали чітку картину. VEXVulnerability Exploitability eXchange – машинозчитувані твердження про те, чи є вразливості реально експлуатованими у вашому контексті
Стандартні формати промисловості
Пакет „Стела“ генерує SBOM у форматах, які очікують ваші аудитори та групи контролю відповідності, із повними метаданими компонентів і походженням.
CycloneDX 1.7
OWASP CycloneDX з інтегрованою підтримкою VEX і розширеннями графіка залежностей.
Створіть, перевірте та опублікуйте SBOMs з CLI
$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwriteЧому це важливо
SBOMs стають обов’язковими. Пакет „Стела“ робить їх практичними.
Відтворювані результати
Той самий образ, той самий SBOM — щоразу. Аудитори можуть перевірити ваші результати незалежно.
Працює Офлайн
Генеруйте та перевіряйте SBOM у закритих середовищах. Зовнішні дзвінки не потрібні.
Готовий для відповідності
Підтримує EO 14028, EU CRA та інші вимоги безпеки ланцюга постачання завдяки підписаним, перевірюваним SBOM.
Криптографічний підпис
Кожен SBOM підписано та захищено від втручання. Докази, яким можна довіряти.
VEX: Контекст для вразливостей
Не кожен CVE впливає на вас. Заяви VEX (Vulnerability Exploitability eXchange) дозволяють постачальникам і вашому власному аналізу визначити, які вразливості насправді важливі для вашого конкретного розгортання.
Це стосується
Не впливає
Виправлено
Розслідується
VEX розсіює шум: CVE у бібліотеці, якою ви не користуєтеся, не є вашою проблемою. Пакет „Стела“ автоматично застосовує оператори VEX, щоб зосередити вашу увагу на важливому.
Що це означає для вашого бізнесу
Коли сканери розходяться, переглядайте всі докази замість мовчазної підміни. Пакет „Стела“ показує конфлікти, щоб ваша команда приймала обґрунтовані рішення — менше пропущених вразливостей, менше марних виправлень.
How conflict states are computed (advanced)
Якщо кілька джерел VEXVulnerability Exploitability eXchange – машинозчитувані твердження про те, чи є вразливості реально експлуатованими у вашому контексті не погоджуються, пакет „Стела“ використовує чотиризначну логіку Белнапа для обчислення остаточного стану. Конфлікти стають видимими, а не прихованими. ⊥ Невідомо Інформації поки немає. Стандартний стан перед застосуванням будь-якого оператора VEXVulnerability Exploitability eXchange – машинозчитувані твердження про те, чи є вразливості реально експлуатованими у вашому контексті. Т Це стосується Принаймні один емітент каже, що ця вразливість впливає на вас. F Не впливає Принаймні один емітент каже вас це не вплине. ⊤ Конфлікт Кілька емітентів не згодні. Потрібна перевірка або заміна вищим органом. Постачальник каже, що «не зазнає впливу», але ваш зонд виконання побачив виклик функції? Результат: Конфлікт (⊤) — незгода видима, а не мовчки придушена. Без тихого придушення. Ніяких прихованих припущень. Невизначеність відстежується та виявляється.Read more
How conflict states are computed (advanced)
Якщо кілька джерел
Read moreVEXVulnerability Exploitability eXchange – машинозчитувані твердження про те, чи є вразливості реально експлуатованими у вашому контексті не погоджуються, пакет „Стела“ використовує чотиризначну логіку Белнапа для обчислення остаточного стану. Конфлікти стають видимими, а не прихованими. ⊥ Невідомо Інформації поки немає. Стандартний стан перед застосуванням будь-якого оператора VEXVulnerability Exploitability eXchange – машинозчитувані твердження про те, чи є вразливості реально експлуатованими у вашому контексті. Т Це стосується Принаймні один емітент каже, що ця вразливість впливає на вас. F Не впливає Принаймні один емітент каже вас це не вплине. ⊤ Конфлікт Кілька емітентів не згодні. Потрібна перевірка або заміна вищим органом. Постачальник каже, що «не зазнає впливу», але ваш зонд виконання побачив виклик функції? Результат: Конфлікт (⊤) — незгода видима, а не мовчки придушена. Без тихого придушення. Ніяких прихованих припущень. Невизначеність відстежується та виявляється.Якщо кілька джерел VEX не погоджуються, пакет „Стела“ використовує чотиризначну логіку Белнапа для обчислення остаточного стану. Конфлікти стають видимими, а не прихованими.
⊥
Невідомо
Інформації поки немає. Стандартний стан перед застосуванням будь-якого оператора VEX.
Т
Це стосується
Принаймні один емітент каже, що ця вразливість впливає на вас.
F
Не впливає
Принаймні один емітент каже вас це не вплине.
⊤
Конфлікт
Кілька емітентів не згодні. Потрібна перевірка або заміна вищим органом.
Постачальник каже, що «не зазнає впливу», але ваш зонд виконання побачив виклик функції? Результат: Конфлікт (⊤) — незгода видима, а не мовчки придушена.
Без тихого придушення. Ніяких прихованих припущень. Невизначеність відстежується та виявляється.
Multi-source VEX aggregation (advanced)
Постачальники, дистриб’ютори та ваша власна команда безпеки можуть публікувати заяви VEXVulnerability Exploitability eXchange – машинозчитувані твердження про те, чи є вразливості реально експлуатованими у вашому контексті. Пакет „Стела“ агрегує їх із зваженим консенсусом. Ввести VEXVulnerability Exploitability eXchange – машинозчитувані твердження про те, чи є вразливості реально експлуатованими у вашому контексті від постачальників програмного забезпечення, розповсюджувачів Linux і внутрішніх джерел Джерела зважені за повноваженнями — ваші внутрішні оцінки можуть перекривати зовнішні Конфлікти викликають робочі цикли перегляду, а не тихо вирішуються One View of Truth Замість того, щоб жонглювати електронними таблицями та електронними листами, отримайте єдине авторитетне уявлення про те, які вразливості насправді впливають на ваш випуск.Read more
Multi-source VEX aggregation (advanced)
Постачальники, дистриб’ютори та ваша власна команда безпеки можуть публікувати заяви
Read moreVEXVulnerability Exploitability eXchange – машинозчитувані твердження про те, чи є вразливості реально експлуатованими у вашому контексті. Пакет „Стела“ агрегує їх із зваженим консенсусом. Ввести VEXVulnerability Exploitability eXchange – машинозчитувані твердження про те, чи є вразливості реально експлуатованими у вашому контексті від постачальників програмного забезпечення, розповсюджувачів Linux і внутрішніх джерел Джерела зважені за повноваженнями — ваші внутрішні оцінки можуть перекривати зовнішні Конфлікти викликають робочі цикли перегляду, а не тихо вирішуються One View of Truth Замість того, щоб жонглювати електронними таблицями та електронними листами, отримайте єдине авторитетне уявлення про те, які вразливості насправді впливають на ваш випуск.Постачальники, дистриб’ютори та ваша власна команда безпеки можуть публікувати заяви VEX. Пакет „Стела“ агрегує їх із зваженим консенсусом.
- Ввести
VEXVulnerability Exploitability eXchange – машинозчитувані твердження про те, чи є вразливості реально експлуатованими у вашому контекстівід постачальників програмного забезпечення, розповсюджувачів Linux і внутрішніх джерел - Джерела зважені за повноваженнями — ваші внутрішні оцінки можуть перекривати зовнішні
- Конфлікти викликають робочі цикли перегляду, а не тихо вирішуються
One View of Truth
Замість того, щоб жонглювати електронними таблицями та електронними листами, отримайте єдине авторитетне уявлення про те, які вразливості насправді впливають на ваш випуск.
Готовий до практичної відповідності SBOM?
Встановіть пакет „Стела“ і почніть генерувати готові до аудиту SBOM з підтримкою VEX з кількох джерел.