证据级发布——从构建到证明
Stella Ops 将 SBOM、可达性证明、VEX 和审批绑定到非 Kubernetes 部署的每个推进门控。每次推进都产生一个签名的、可重放的 Decision Capsule,审计人员可以离线验证——数月之后依然有效。
专为安全团队打造
Proof anchors
Each claim links to inspectable evidence artifacts, replay workflow, and specification docs.
深受注重安全的团队信赖
设计合作伙伴案例研究和量化成果——即将推出。
Pilot scope pattern: 6-12 services, mixed Linux and Windows targets, promotion gates enforced on immutable digests.
Observed signal pattern: reachability and VEX filtering reduce manual triage volume before security review.
Observed audit pattern: teams switch from timeline reconstruction to signature and replay verification.
Review evidence model | Verify signing keys | See replay workflow
您将获得
安全发布
在有风险的推进到达生产环境之前将其阻止——使用基于证据的策略门控,而非仅依赖扫描器输出。
了解原因
每个裁决都可追溯到具体输入:SBOM、可达性证明、策略快照和审批。
证明它
导出签名的 Decision Capsule。无需网络访问即可确定性地重放决策。
核心能力
证据级发布的四大支柱
一流的SBOM和VEX
生成 SPDX/CycloneDX SBOMs,从多个发行者获取 OpenVEX,解决与 K4 晶格逻辑的冲突 — 确定性和离线功能。
了解更多可达性作为证据
三层分析 - 静态调用图,二进制符号、运行时 eBPF 探针 — 生成签名的 DSSE 证明,可显著减少误报。
了解更多摘要优先版本控制
版本是不可变的OCI 摘要集在创建时解析 - 标签是别名,摘要是真实的,每次拉取都是可检测篡改的。
了解更多无代理部署
将容器部署到 Linux(SSH)和 Windows(WinRM)服务器,采用 canary、rolling 或 blue-green 策略——rollback 会回到已验证的 digest。
了解更多核心能力
每个决策都是可审核的
- 决策胶囊 — 每个晋升都是经过签名的、可导出的证据捆绑
- 确定性重放 — 使用冻结输入重新运行任何决策,获得逐位相同的输出
- 离线验证 - 审核员无需网络访问即可验证签名和重放
$ stella promote api:v2.1.0 --env staging每次推广都会生成一个签名的决策胶囊
探索真实的 Decision Capsule
下载一个示例胶囊,验证签名,并在本地重放决策。
包含:SBOM (CycloneDX)、可达性证明、策略评估、模拟审批、签名 + 公钥。
从评估到生产
从首次扫描到企业部署的清晰路径。
评估
从源代码自建。扫描您的第一个摘要。导出您的第一个 Decision Capsule。免费层级:3 个环境,每月 999 次扫描。
试点
申请访问令牌以获取签名镜像和托管更新。定义您的推进图谱。运行您的第一个策略门控发布。
生产
升级到 Plus 或 Pro 以用于生产环境。扩展环境和扫描量。按需启用企业采购支持。