Stella Ops 连接您的工具链,生成证据,控制发布,并为每个版本导出决策证明。
Proof anchors
Each claim links to inspectable evidence artifacts, replay workflow, and specification docs.
Proof and methodology links: Evidence and Audit | Decision Capsule spec | Operations and Deployment
SBOM软件物料清单 - 软件中所有软件包和依赖项的完整列表 + 扫描的第一个镜像可达性分析Stella 位于您的 CI 和服务器之间。CI 构建镜像。Stella 决定是否可以晋升,将其部署到非 Kubernetes 目标(Compose、SSH/WinRM、ECS、Nomad),并导出审计证明。
Stella Ops 控制平面位于输入(CI/CD、镜像仓库、feeds)与输出(部署目标、审计系统)之间。证据在其中流转,并在每一步被封存。
连接、打包、门禁、部署,并导出与工件 digest 绑定证据的决策胶囊。
将您的容器注册表、CI 流水线和基础设施组件链接起来,构建基于摘要的发布账本。Stella 监控新镜像并与您现有的基础设施协调。
将工件摘要、SBOM 和来源作为单一发布单元捕获。该包穿越环境,在每一步积累证据。
CycloneDX业界广泛使用的软件物料清单(SBOM)开放标准格式 / SPDX软件包数据交换 - 另一种广泛用于开源的SBOM开放标准格式 SBOM软件物料清单 - 软件中所有软件包和依赖项的完整列表 生成SLSA软件制品供应链安全等级 — 确保软件制品在整个供应链中完整性的框架 来源证明在每次发布时根据证据评估策略。混合可达性分析使用三层来确定您的代码实际调用了哪些漏洞:
从字节码/源代码提取调用图
import/require 语句、依赖树
可选的性能分析数据以提高置信度
$ stella gate evaluate --env stage --artifact sha256:abc123...
✓ 在依赖中发现 487 个 CVE
✓ 475 个不可达(混合分析)
! 12 个可达(按策略评估)
策略裁决:PASS — 12 个可达 CVE 低于阈值
Gate 评估已保存:evidence/gate-stage-2025-07-15.json结果:显著减少误报,相比传统的 CVE 计数。
执行部署到您的目标并导出签名的证据包。通过 SSH/WinRM 配置环境或使用内置提供程序——所有部署均为按设计无代理。
决策胶囊经过 DSSE 签名,包含审计导出和确定性重放所需的一切。
CVE公共漏洞和暴露 - 公开已知安全漏洞的唯一标识符 需要分类CVE公共漏洞和暴露 - 公开已知安全漏洞的唯一标识符 需要修复每个决策胶囊包含:
SBOM软件物料清单 - 软件中所有软件包和依赖项的完整列表 快照 (CycloneDX业界广泛使用的软件物料清单(SBOM)开放标准格式/SPDX软件包数据交换 - 另一种广泛用于开源的SBOM开放标准格式)VEX漏洞可利用性交换 - 关于漏洞是否在您的上下文中实际可利用的机器可读声明 状态(按格模型裁决)审计员可以独立验证签名,并使用 stella replay 离线重放决策。