Stella 在技术发布工作流中的定位

安全、平台和合规负责人使用 Stella 来降低可达 CVE 的分诊噪声,保持推广决策可确定且可重放,并在非 Kubernetes 目标上生成可审计证据。

小型团队免费:最多 3 个环境,每月 999 次扫描

申请访问 阅读文档

Evidence paths for these outcomes

Each use case links to inspectable artifacts and runbooks, not marketing summaries.

Evidence and Audit | Operations and Deployment | Offline operation

安全性

可达仅限 CVEs

  • → 使用可达性上下文对 CVE 进行分类 — 重点关注实际可利用的内容
  • → 使用明确的预算跟踪未知(未修补、无修复、有争议)
  • → 生成签名下游消费者的 VEX 语句
  • → 审查版本之间的风险增量,而不是整个 SBOMs

典型结果:需要调查的 CVE 显著减少

了解可达性 →

平台

非 K8s 发布控制

  • → 使用批准门定义升级图(开发→暂存→生产)
  • → 部署到 Compose、Swarm、ECS、Nomad 或脚本化主机
  • → 与现有 CI 集成(GitHub Actions、GitLab CI、 Jenkins)
  • → 使用摘要优先版本控制 - 不可变工件、不可变责任

典型结果:覆盖所有非 K8s 目标的安全+部署一体化视图

了解部署 →

合规性

可导出审核包

  • → 导出任何历史版本的决策胶囊
  • → 几个月后使用冻结输入重放决策 - 相同的结果
  • → 支持 SOC 2、FedRAMP 和供应链合规所需的审计证据
  • → 没有供应商锁定:胶囊是独立的,可离线验证

典型结果:借助可导出胶囊将审计准备从数天缩短到数分钟

了解证据 →

气隙

完全离线操作

  • → 使用离线套件(签名的提要包)完全离线运行
  • → 选择加密配置文件:FIPS 对齐、GOST、SM2/SM3、eIDAS 兼容(验证取决于所选密钥提供方)
  • → 无强制遥测;产品遥测是选择加入的
  • → 将胶囊导出到外部网络进行外部审计

典型结果:断网环境下完整安全扫描,周度包更新

离线部署 →

示例工作流

简短、可重复的流程,以签名的 Decision Capsule 收尾。

安全分流工作流

  1. 摄取 SBOM软件物料清单 - 软件中所有软件包和依赖项的完整列表 + 公告
  2. 运行可达性 + VEX漏洞可利用性交换 - 关于漏洞是否在您的上下文中实际可利用的机器可读声明 解析
  3. 以策略门控发布
  4. 导出用于审计的 Decision Capsule签名的可导出证据包,封装发布决策的每个输入和输出,用于离线审计和确定性重放

集成: 镜像仓库、公告源、OpenVEX 来源、工单/ChatOps

平台发布工作流

  1. 将发布绑定为不可变摘要
  2. 在 Dev -> Stage -> Prod 间提升
  3. 通过 Compose/SSH/WinRM 目标部署
  4. 回滚到上一个已知可用摘要

集成: SCM/CI、镜像仓库、部署目标、密钥与服务发现

合规证据工作流

  1. 为发布导出 Decision Capsule签名的可导出证据包,封装发布决策的每个输入和输出,用于离线审计和确定性重放
  2. 离线验证签名与清单
  3. 使用冻结输入重放决策
  4. 向审计方交付证据

集成: 证据导出、签名密钥、审计系统

隔离网络更新工作流

  1. 下载签名的 Offline Kit 包
  2. 将源与镜像导入隔离仓库
  3. 本地运行扫描与策略门控
  4. 导出胶囊供外部审查

集成: Offline Kit、内部镜像仓库、传输介质

真实场景

SOC 团队分诊

500 CVE公共漏洞和暴露 - 公开已知安全漏洞的唯一标识符 → 12 可达。聚焦关键问题。

安全运营团队使用可达性分析消除告警噪声,优先处理其运行环境中真正可被利用的漏洞。

变更咨询委员会(CAB)

签名审批,完整审计链——无邮件线程。

CAB 审核人员在每个晋升请求中都会收到一份决策胶囊:准确的 SBOM、可达性证据、策略裁决和签名审批。不再需要追邮件里的截图。

隔离(Air‑gapped)部署

每周签名包更新——断网环境中得到相同扫描结果。

主权或涉密网络中的团队通过签名的 Offline Kit 包获取与联网部署同等的漏洞情报。扫描可确定且可重放。

部署案例

受监管 SaaS 运营商

一家受监管的 SaaS 运营商采用 Stella Ops 在数十个环境中管理非 Kubernetes 发布,无需增加人员。

  • CVE公共漏洞和暴露 - 公开已知安全漏洞的唯一标识符 分类时间从每周约 12 小时减少到约 2 小时,专注于可达代码路径
  • 审计准备从数天缩短到数小时,使用决策胶囊和确定性重放
  • 在 6 个团队和 3 个地区标准化推进门控

气隙隔离国防承包商

一家运行机密工作负载的国防承包商采用 Stella Ops,在完全断网的网络中保持漏洞感知和发布治理。

  • 通过签名 Offline Kit 包在气隙隔离和联网环境之间实现相同的扫描结果
  • 通过自动化签名证据导出消除手动 CVE公共漏洞和暴露 - 公开已知安全漏洞的唯一标识符 电子表格跟踪
  • 通过决策胶囊重放通过外部审计,零证据缺口

金融科技平台团队

一个金融科技平台团队使用 Stella Ops 将 Trivy 扫描、手动审批和部署脚本的脆弱组合替换为单一的审计级管道。

  • 通过可达性过滤将 CVE公共漏洞和暴露 - 公开已知安全漏洞的唯一标识符 误报噪音减少约 80%
  • 通过策略门控自动推进将平均生产上线时间从 4 天缩短到不到 1 天
  • 在 40+ 微服务上统一发布治理,无需逐服务工具

结果因技术栈和策略成熟度而异。指标具有代表性,非保证值。

试点结果

设计合作伙伴的量化成果——即将推出。有兴趣运行试点项目?请联系我们。

联系销售

什么是证据包?

决策胶囊密封证据,以便审核员可以验证任何发布 — 离线、独立、逐位相同。

内容

每个决策胶囊包含确切的 SBOM、冻结的漏洞源、可达性图、策略版本、派生的 VEX 和审批元数据。

重放

使用 stella replay 以相同输入重放历史决策,并验证得到相同结果。

完整证据文档 →

主权就绪意味着什么

主权意味着您控制基础设施、密钥和证据。Stella Ops 无需强制性外部依赖即可运行,并为每个发布决策生成可验证的证据。

自托管控制平面

无强制 SaaS 依赖。在您的基础设施上部署整个套件——本地、私有云或气隙网络。

气隙 / 默认离线模式

漏洞数据源和验证数据通过签名包传输。核心决策无需强制性外部流量即可工作。

区域加密配置文件

合规驱动加密的插件架构。FIPS 对齐、GOST R 34.10、SM2/SM3 或 eIDAS 兼容签名(验证取决于所选密钥提供方)。

完整主权文档 → | Offline Kit →

申请访问 阅读文档

了解更多 | 阅读文档