功能
用证据发布,而不仅是发现
Stella Ops 将编排、安全控制和审计导出整合到一个面向非 Kubernetes 容器环境的统一控制平台。
证据级发布的四大支柱
一流的SBOM和VEX
生成 SPDX/CycloneDX SBOMs,从多个发行者获取 OpenVEX,解决与 K4 晶格逻辑的冲突 — 确定性和离线功能。
- → 从容器镜像生成 SPDX 3.0.1 与 CycloneDX 1.7 SBOM
- → 摄取多方签发的 OpenVEX,并用 K4 lattice 解决冲突
- → 从 30+ 安全通告来源匹配 CVE,热路径扫描小于 1 秒
可达性作为证据
三层分析 - 静态调用图,二进制符号、运行时 eBPF 探针 — 生成签名的 DSSE 证明,可减少 70-90% 的误报。
- → 三层分析:静态调用图、二进制符号、运行时 eBPF 探针
- → DSSE 签名证据 — 不是断言,而是可验证证据
- → 误报减少 70-90%:聚焦 12 个可达 CVE,而非 487 个理论项
摘要优先版本控制
版本是不可变的OCI 摘要集在创建时解析 - 标签是别名,摘要是真实的,每次拉动都是可检测篡改的。
- → 发布版本是创建时解析的不可变 OCI digest 集合
- → Tag 只是别名,digest 才是真相 — 每次拉取都可检测篡改
- → 完整审计链:准确知道何时、何地部署了什么
无代理部署
将容器部署到 Linux(SSH)和 Windows(WinRM)服务器,采用 canary、rolling 或 blue-green 策略——rollback 会回到已验证的 digest。
- → 部署到 Docker Compose、Swarm、ECS、Nomad 或脚本主机
- → 通过 SSH (Linux) 与 WinRM (Windows) 无代理执行
- → Canary、rolling 与 Blue/Green 策略,支持即时回滚
Stella 的不同之处
大多数工具给你的是发现或部署。Stella 给你的是证据。
证据,而非断言
每个决策都有签名且可复现的证据。审计人员可独立验证 — 无需依赖供应商。
Non-Kubernetes 优先
Docker Compose、ECS、Nomad 和脚本主机是主要目标,而非 K8s 设计的附加品。
确定性重放
6 个月后用冻结输入重放任何决策。相同 SBOM、相同 feeds、相同策略 — 输出逐位一致。
主权与离线
完全 air-gap 运行,使用签名 feeds 包。FIPS-140-3、GOST、SM2/SM3、eIDAS 加密配置。无强制遥测;仅 opt-in(默认关闭)。
Stella如何比较
Stella 将扫描、策略和部署结合到一个证据链接平台中。了解它如何叠加。
准备好证据级发布了吗?
使用 Docker Compose 安装并运行您的第一个经过验证的促销活动。