功能
可辩护发布决策背后的技术机制
编排 SCM、注册表、Consul、Vault 和摘要优先版本控制。镜像经过漏洞扫描、可达性过滤,每次晋升都可审计。
- → 签名的可达性证明 — 不是猜测,是精确的调用路径
- → 确定性重放 — 数月后验证任何决策
- → Lattice
VEX漏洞可利用性交换 - 关于漏洞是否在您的上下文中实际可利用的机器可读声明— 冲突是状态,不是抑制
这对您的业务意味着什么
减少可达 CVE 的分诊队列,保持推广裁决可复现,并将审计响应从叙述式重建转为签名与重放验证。
Proof anchors
Each claim links to inspectable evidence artifacts, replay workflow, and specification docs.
证据级发布的四大支柱
一流的SBOM和VEX
生成 SPDX/CycloneDX SBOMs,从多个发行者获取 OpenVEX,解决与 K4 晶格逻辑的冲突 — 确定性和离线功能。 SBOM软件物料清单 - 软件中所有软件包和依赖项的完整列表 VEX漏洞可利用性交换 - 关于漏洞是否在您的上下文中实际可利用的机器可读声明
- → 从容器镜像生成
SPDX软件包数据交换 - 另一种广泛用于开源的SBOM开放标准格式3.0.1 与CycloneDX业界广泛使用的软件物料清单(SBOM)开放标准格式1.7SBOM软件物料清单 - 软件中所有软件包和依赖项的完整列表 - → 摄取多方签发的
OpenVEX关于漏洞可利用性的VEX声明开放标准格式,并用 K4 lattice 解决冲突 - → 从 30+ 安全通告来源匹配
CVE公共漏洞和暴露 - 公开已知安全漏洞的唯一标识符,热路径扫描小于 1 秒
可达性作为证据
三层分析 - 静态调用图,二进制符号、运行时 eBPF 探针 — 生成签名的 DSSE 证明,可显著减少误报。 Reachability分析证明易受攻击的代码是否确实被您的应用程序调用——过滤扫描器噪声中的误报
- → 三层分析:静态调用图、二进制符号、运行时
eBPF扩展伯克利包过滤器 — 一种Linux内核技术,运行沙箱程序实现高性能可观测性和运行时分析,无需内核模块探针 - →
DSSEDead Simple Signing Envelope - 用于以加密签名签署任意数据的简单灵活标准签名证据 — 不是断言,而是可验证证据 - → 显著减少误报:聚焦 12 个可达
CVE公共漏洞和暴露 - 公开已知安全漏洞的唯一标识符,而非 487 个理论项
摘要优先版本控制
版本是不可变的OCI 摘要集在创建时解析 - 标签是别名,摘要是真实的,每次拉取都是可检测篡改的。
- → 发布版本是创建时解析的不可变
OCI开放容器计划 — 容器镜像格式和注册中心的行业标准digest 集合 - → Tag 只是别名,digest 才是真相 — 每次拉取都可检测篡改
- → 完整审计链:准确知道何时、何地部署了什么
无代理部署
将容器部署到 Linux(SSH)和 Windows(WinRM)服务器,采用 canary、rolling 或 blue-green 策略——rollback 会回到已验证的 digest。
- → 部署到 Docker Compose、Swarm、ECS、Nomad 或脚本主机
- → 通过 SSH (Linux) 与 WinRM (Windows) 执行——按设计无代理。
- → Canary、rolling 与 Blue/Green 策略,支持即时回滚
Stella 的不同之处
大多数工具给你的是发现或部署。Stella 给你的是证据。
证据,而非断言
每个决策都有签名且可复现的证据。审计人员可独立验证 — 无需依赖供应商。
Non-Kubernetes 优先
Docker Compose、ECS、Nomad 和脚本主机是主要目标,而非 K8s 设计的附加品。
确定性重放
6 个月后用冻结输入重放任何决策。相同 SBOM、相同 feeds、相同策略 — 输出逐位一致。
主权与离线
完全 air-gap 运行,使用签名 feeds 包。FIPS 对齐、GOST、SM2/SM3、eIDAS 兼容的加密配置(验证取决于所选密钥提供方)。无强制遥测;仅 opt-in(默认关闭)。
Stella如何比较
Stella 将扫描、策略和部署结合到一个证据链接平台中。了解它如何叠加。
准备好证据级发布了吗?
使用 Docker Compose 安装并运行您的第一个经过验证的晋升活动。