证据引擎

识别真正重要的漏洞

生成 SBOM、分析混合可达性,并为每个制品生成签名证据。

通过三层分析显著减少误报

申请访问 阅读文档

可达性的差异

传统扫描器告诉您 CVE 存在。Stella 证明您的代码是否实际调用了易受攻击的函数。

静态分析

从字节码和源代码提取调用图。追踪到易受攻击函数的执行路径。

清单分析

导入语句、依赖树、包清单。识别实际包含的代码。

运行时追踪

可选的性能分析数据,提供更高置信度。证明实际执行的代码路径。 eBPF扩展伯克利包过滤器 — 一种Linux内核技术,运行沙箱程序实现高性能可观测性和运行时分析,无需内核模块

结果:显著减少误报

专注于 12 个可达的 CVE,而非 487 个理论上的。

真实世界的差异

典型扫描器输出

终端
$ trivy image myapp:latest
总计:487 个漏洞
  CRITICAL: 23
  HIGH: 89
  MEDIUM: 241
  LOW: 134

"很好。哪些才真的重要?"

带可达性分析的 Stella Ops

终端
$ stella scan myapp:latest --reachability
总计:发现 487 个 CVE
可达:12 个 CVE
  CRITICAL: 2(均在认证路径)
  HIGH: 4(3 在 API 处理器)
  MEDIUM: 6

聚焦关键问题,自信发布。

SBOM 能力

生成、导入和比较 SBOM,具有完整的版本历史和来源追踪。

多格式支持

CycloneDX 1.7、SPDX 3.0、Trivy-JSON 自动检测。

增量 SBOM 缓存

通过智能缓存实现亚秒级热路径扫描。

SBOM 来源账本

完整版本历史,支持遍历查询。

层感知分析

逐层 SBOM 提取和基础镜像检测。

语义 SBOM 差异

发布之间的实质性变更检测。

自带 SBOM

导入外部 SBOM 并添加可达性分析。

11 种语言分析器

.NET/C#
Java
Go
Python
Node.js
Ruby
Bun
Deno
PHP
Rust
Native
+更多

另外还有 apk、apt、yum、dnf、rpm 和 pacman 的操作系统包分析器。

33+ 个通告来源

从全球、供应商和区域来源聚合漏洞情报,支持自动同步和冲突检测。

全球数据库

  • NVD国家漏洞数据库 - 美国政府基于标准的漏洞数据存储库 (NIST), CVE公共漏洞和暴露 - 公开已知安全漏洞的唯一标识符 (MITRE), OSV开源漏洞 - 面向开源项目的分布式漏洞数据库, GHSAGitHub安全公告 - GitHub上软件包的安全漏洞数据库
  • Alpine, Debian, Ubuntu, RHEL, SUSE
  • CISA网络安全和基础设施安全局 - 美国联邦网络安全指导和漏洞目录机构 KEV已知被利用漏洞 - CISA的活跃利用漏洞目录, EPSS漏洞利用预测评分系统 - 预测漏洞被利用可能性的概率评分(0-100%) v4

供应商 PSIRT

  • Microsoft MSRC, Cisco PSIRT, Oracle CPU
  • VMware, Adobe PSIRT, Apple Security
  • Chromium, Kaspersky ICS-CERT

国家 CERT

  • CERT-FR, CERT-Bund (BSI), CERT-In
  • ACSC, CCCS, KISA, JVN日本漏洞笔记 - 由JPCERT/CC和IPA管理的日本漏洞数据库
  • FSTEC BDU, NKCKI, Astra Linux

自定义源

  • 私有通告连接器
  • 带冲突解决的通告合并引擎
  • 连接器健康监控

所有来源经过去重,带签名快照以支持确定性重放

为速度而生

<1s

热路径扫描

对重复摘要的增量 SBOM 缓存

70-90%

误报减少

通过混合可达性分析

33+

通告来源

聚合并自动同步

证据输出

每次扫描都会生成签名的、可导出的证据。

SBOM软件物料清单 - 软件中所有软件包和依赖项的完整列表 快照(CycloneDX业界广泛使用的软件物料清单(SBOM)开放标准格式/SPDX软件包数据交换 - 另一种广泛用于开源的SBOM开放标准格式
带边缘证明的可达性图
扫描时的通告状态
用于审计的路径见证生成
DSSEDead Simple Signing Envelope - 用于以加密签名签署任意数据的简单灵活标准 签名的证据包
用于 CI 集成的 SARIF 导出

适合的地方

仅证据引擎

使用 Stella 的扫描和可达性作为独立的证据生成器。

  • 为您的 CI 管道生成 SBOM软件物料清单 - 软件中所有软件包和依赖项的完整列表 + 可达性
  • 将结果导出为 SARIF、CycloneDX业界广泛使用的软件物料清单(SBOM)开放标准格式 或 Decision Capsules
  • 与您现有的 CD 工具集成

完全发布控制

添加编排、策略门和部署执行以实现端到端发布治理。

  • 扫描→门控→升级→部署→证明
  • 跨环境的摘要优先版本控制
  • A/B、金丝雀、带证据保存的回滚

准备好专注于真正重要的事了吗?

开始带可达性分析的扫描。

申请访问 阅读文档

发布编排 · 安全决策 · 所有功能