运维与部署
在任何地方部署。证明一切。
对 Docker、Compose、ECS、Nomad 和无代理 SSH/WinRM 的一流支持。100% 离线操作,具有主权加密配置文件。
您在此处操作的
图像扫描
SBOM 生成、CVE 匹配、VEX 每个容器映像的语句管理。
可达性过滤
静态、清单和运行时分析,以将可利用的风险与理论风险分开。
发布升级
通过具有完全可追溯性的策略门在环境之间移动映像。
渐进式交付
A/B 测试、canary、blue/green 部署,以及跨目标的即时 rollback。
证据导出
决策胶囊捆绑了所有输入、策略和判决,以进行审计和合规性。
离线操作
使用签名的离线更新套件在气隙环境中提供完整功能。
非 Kubernetes 优先
大多数 CD 工具将非 Kubernetes 视为事后考虑。Stella 将其作为主要用例。
Docker 主机
直接向 Docker 主机部署容器。
Docker Compose
多容器应用部署。
AWS ECS
ECS 和 Fargate 任务部署。
HashiCorp Nomad
Nomad 作业部署和更新。
SSH(无代理)
无需代理的 Linux/Unix 目标。
WinRM(无代理)
无需代理的 Windows 目标。
所有定价层级均支持无限部署目标
摘要优先版本控制
每个版本都由其内容摘要标识,而不是可变标签。这保证了扫描的内容就是部署的内容,审核的内容就是实际运行的内容。
不可变身份
sha256摘要确保升级的工件与扫描和批准的工件字节相同。
来源链
每次升级都会在签名证明中记录源摘要、策略版本和批准证据。
部署模式
A/B 测试
将一定比例的流量路由到新版本。在提交之前比较指标。
金丝雀发布
首先部署到一小部分目标。运行状况检查失败时自动回滚。
Blue/Green
并行运行新旧版本。准备好后自动切换流量。
即时回滚
恢复到任何以前的摘要验证版本。向前和向后保留证据线索。
100% 离线操作
核心决策无需外部依赖即可工作。漏洞源和证据验证完全在您的边界内运行。
离线更新套件
包含气隙操作所需一切的签名包。
- → 来自 33+ 来源的漏洞源
- → 所有组件的容器镜像
- → 来源数据和 SBOM
- → 用于高效传输的增量更新
无需外部出口
每个操作都在主权网络内工作。
- → 本地漏洞数据库
- → 离线签名验证
- → 无需网络的确定性重放
- → 没有强制遥测(仅选择加入)
$ stella offline-kit import stella-ouk-2026-01-20.tar.gz --verify
验证包签名... OK
导入漏洞 feeds... 已更新 33 个来源
导入容器镜像... 已加载 12 个镜像
导入 provenance 数据... OK
Offline Kit 导入成功
知识快照:2026-01-20T00:00:00Z
建议下次更新:2026-01-27主权加密配置文件
用于区域合规的可插拔加密配置文件。选择您的算法而无需更改工作流。
| 配置文件 | 算法 | 用例 |
|---|---|---|
| 默认 | Ed25519, ECDSA P-256, SHA-256 | 标准部署 |
| FIPS 140-2/3 | ECDSA P-384, SHA-384 | 美国联邦 / FedRAMP |
| GOST R 34.10 | GOST R 34.10-2012, Streebog | 独联体地区合规 |
| SM2/SM3 | SM2, SM3 | 中国国家标准 |
| eIDAS | RSA-PSS, ECDSA (QES) | 欧盟合格签名 |
| Dilithium | ML-DSA (Dilithium) | 后量子未来保障 |
HSM/PKCS#11 集成
用于密钥存储和签名操作的硬件安全模块。
多配置文件签名
使用多种算法签名同一制品,以实现跨司法管辖区合规。
基础设施集成
HashiCorp Vault
部署的密钥注入。
HashiCorp Consul
服务注册表集成。
容器仓库
Docker Hub、Harbor、ECR、GCR、ACR。
SCM Webhook
GitHub、GitLab、Bitbucket 触发器。
通知
Slack、Teams、电子邮件、PagerDuty、OpsGenie。
插件系统
自定义连接器和工作流步骤。
平台要求
支持的操作系统
- → Ubuntu 20.04, 22.04, 24.04 LTS
- → RHEL/CentOS 8, 9
- → Debian 11, 12
- → Amazon Linux 2, 2023
- → Windows Server 2019, 2022
- → Alpine 3.18+ (containers)
容器镜像仓库
- → Docker Hub
- → AWS ECR (incl. ECR Public)
- → Google Artifact Registry / GCR
- → Azure Container Registry
- → GitHub Container Registry
- → Harbor, Nexus, JFrog Artifactory
- → 任何 OCI 兼容仓库
规模建议
- → 每个实例最多 100 个环境
- → 每个环境最多 1,000 个目标
- → 50 个并发部署
- → 支持每月 10,000+ 次扫描
- → 通过 HA 模式水平扩展
- → 支持多区域联邦
更大规模请联系销售
最低要求
4 vCPU、8 GB RAM、50 GB 存储。Docker 20.10+ 或 Podman 4.0+。
生产建议
8 vCPU、16 GB RAM、200 GB SSD。HA 部署需 PostgreSQL 14+。
部署架构
单节点部署
用于评估和小型团队的 Docker Compose。
- 最低 2 vCPU,2 GiB RAM
- PostgreSQL 16+,Valkey 8.0+
- 10 GiB SSD 用于缓存和证据
高可用部署
用于生产工作负载的水平扩展。
- 多副本 API 和工作节点
- 提供 Kubernetes Helm 图表
- 企业专用容量
准备好主权部署了吗?
从安装指南或离线套件开始。