气隙就绪

在气隙网络上运行 Stella Ops

一个签名包提供数据源、镜像和来源证明,使相同的 Stella Ops 体验可在最严格的边界后运行。

申请访问 阅读指南

该套件支持什么

离线更新套件可确保您的气隙 Stella 安装具有与连接部署相同的扫描、决策和证据功能。

  • 使用来自 33 个以上来源的最新建议进行全面漏洞扫描
  • 无需访问互联网即可进行可达性分析和VEX漏洞可利用性交换 - 关于漏洞是否在您的上下文中实际可利用的机器可读声明感知风险过滤
  • 针对每个版本的带有签名决策胶囊的策略门控晋升
  • 确定性重放和审核验证 - 无需网络

1 · 包含内容

精选公告

全球数据源加上区域来源(CNNVD、JVN、ENISA、BDU)保存为单独的签名快照,以便策略可以独立信任或忽略每个来源。

预加载运行时

Scanner、Zastava 和支持镜像,适用于 x86‑64 和 arm64,可直接镜像到您的注册表。

来源证明与 SBOM

Cosign 签名、DSSE 证明和 SPDX SBOM 证明您导入的内容。

增量更新

紧凑的每日补丁保持套件最新,无需跨边界传输大量数据。

Detailed kit contents

Vulnerability Feeds

  • NVD国家漏洞数据库 - 美国政府基于标准的漏洞数据存储库 (NIST)
  • OSV开源漏洞 - 面向开源项目的分布式漏洞数据库 (Google)
  • CISA网络安全和基础设施安全局 - 美国联邦网络安全指导和漏洞目录机构 KEV已知被利用漏洞 - CISA的活跃利用漏洞目录
  • → GitHub Advisories
  • → CNNVD (China)
  • JVN日本漏洞笔记 - 由JPCERT/CC和IPA管理的日本漏洞数据库 (Japan)
  • → ENISA (EU)
  • → BDU (Russia)
  • → 33+ regional sources

Container Images

  • → stella-scanner (x86-64, arm64)
  • → zastava runtime
  • → console-ui
  • → authority service
  • → supporting services

Signatures & Provenance

  • CosignSigstore项目的容器签名工具,用于签署和验证容器镜像和制品 signatures for all artifacts
  • DSSEDead Simple Signing Envelope - 用于以加密签名签署任意数据的简单灵活标准 attestations
  • SPDX软件包数据交换 - 另一种广泛用于开源的SBOM开放标准格式 SBOMs for every image
  • → Manifest checksums (SHA-256)
  • → Timestamp proofs

Runbooks & Automation

  • → Import automation scripts
  • → Multi-site sync playbooks
  • → Verification checklists
  • → Rollback procedures
  • → Compliance templates

更新的三个步骤

  1. 1

    下载并验证

    在连接的镜像上获取最新的套件和签名。在转移之前使用您的 Cosign 公钥进行验证。

  2. 2

    传输到气隙站点

    使用您批准的渠道:USB、快递或受控 rsync 投递箱。未签名的包永远不会跨越边界。

  3. 3

    导入

    运行 stella Offline-kit 导入或使用控制台 UI。 Feed 在三秒内交换,停机时间为零。

终端
$ stella offline-kit import stella-ouk-2026-01-20.tar.gz --verify
验证包签名... OK
导入漏洞 feeds... 已更新 33 个来源
导入容器镜像... 已加载 12 个镜像
导入 provenance 数据... OK

Offline Kit 导入成功
知识快照:2026-01-20T00:00:00Z
建议下次更新:2026-01-27

自动化脚本、清单审计和故障排除详见<a href="/docs/24_offline_kit/" class="link">离线套件指南</a>。

保持多个站点同步

  1. 1

    安排下载

    在连接的镜像上配置 cron 以按您首选的节奏获取最新套件。

  2. 2

    通过批准的渠道分发

    通过 USB 传输到每个站点,根据您的安全策略,快递或受控投递箱。

  3. 3

    每个更改窗口导入

    每个气隙站点根据自己的维护计划独立导入。

在导入之前

  • 记录合规性跟踪的捆绑包 ID 和清单哈希
  • 验证 CosignSigstore项目的容器签名工具,用于签署和验证容器镜像和制品 签名与您可信的公钥相匹配
  • 根据您的日程轮换免费配额令牌;验证保持离线
  • 将干净的副本存储在防篡改保险库中以便快速重新发行

使您的气隙部署保持最新

申请访问 阅读离线套件指南

主权部署 · 操作概述