对比

Stella Ops 对比 Grype

Grype 发现漏洞。
Stella Ops 证明哪些重要并保留审计证据。

最后审阅：2026-02-10

Decision criteria

How this comparison is evaluated

Each vendor page is scored against the same five technical dimensions for consistent decision support.

Deployment model: Target coverage, self-hosting posture, and runtime assumptions.
Evidence model: How decisions are justified, signed, and exported for review.
Replayability: Ability to re-run historical decisions with identical inputs.
Offline capability: Behavior in disconnected or sovereign environments.
Policy model: Gate expressiveness, explainability, and workflow integration.

Proof and methodology links: Full market matrix | Evidence and Audit | Operations and Deployment | Decision Capsule spec

核心差异

Grype（来自 Anchore）擅长快速、准确的漏洞检测。但当审计员问「为什么你把 CVE-2024-1234 标记为不受影响？」时，Grype 帮不了你。

Stella Ops 保存一切：SBOM、公告状态、可达性证明和加密印章。数月后重放任何扫描，结果相同。

功能对比

能力	Grype	Stella Ops
`CVE?公共漏洞和暴露 - 公开已知安全漏洞的唯一标识符` 检测	是	是
`SBOM?软件物料清单 - 软件中所有软件包和依赖项的完整列表` 集成	是 (via Syft)	是 (built-in)
离线操作	是	是
扫描速度	快速	快速
可达性分析	否	是
审计证据	否	是
确定性重放	否	是
`VEX?漏洞可利用性交换 - 关于漏洞是否在您的上下文中实际可利用的机器可读声明` 支持	基础	完整（`OpenVEX?关于漏洞可利用性的VEX声明开放标准格式`）
多源公告	是	是 (30+)
区域合规	否	`FIPS?联邦信息处理标准 - 美国政府用于安全系统的加密标准`, `GOST?俄罗斯国家加密标准（GOST R 34.10/34.11），政府系统必需`, `SM2?中国国家公钥密码标准（商密套件的一部分），受监管行业必需`
许可证	Apache 2.0	BUSL-1.1

审计问题

场景：部署 6 个月后。审计员问为什么 CVE-2024-1234 在发布时被标记为「不受影响」。

使用 Grype

「我们...当时检查过？公告已经变了。我们无法证明我们看到了什么。」

使用 Stella Ops

「这是扫描记录。它显示了当天的确切公告状态，证明易受攻击代码路径未被调用的可达性分析，以及证明什么都没改过的加密签名。」

工作流对比

Grype 工作流

终端

$ grype myapp:latest
NAME        INSTALLED  FIXED-IN   TYPE  VULNERABILITY   SEVERITY
openssl     3.0.1      3.0.2      rpm   CVE-2024-1234   High
libxml2     2.9.4      2.9.14     rpm   CVE-2024-5678   Critical
...
（共 487 个漏洞）

你得到列表。现在手动调查每一个。

Stella Ops 工作流

终端

$ stella scan myapp:latest
✓ 发现 487 个 CVE
✓ 475 个不可达（含证据）
! 12 个可达

扫描记录：myapp-2024-01-15.json
  - SBOM 快照
  - 通告状态（冻结）
  - 可达性证据
  - 加密封印

可操作结果 + 审计证据，一次扫描。

超越扫描：部署

Grype 是扫描器——它发现漏洞但不编排发布。

Stella Ops 是完整的发布控制平面，内置部署执行：

部署目标

→ Docker Compose 部署
→ Docker Swarm 集群
→ AWS ECS / Fargate
→ HashiCorp Nomad
→ 脚本化部署 (.NET 10)

基础设施集成

→ SSH/WinRM 远程部署
→ HashiCorp Vault 机密管理
→ HashiCorp Consul 服务注册
→ 环境发布 (Dev→Stage→Prod)
→ 审批工作流

扫描 → 控制 → 部署 → 导出证据——一个平台搞定。

一起使用

已在使用 Grype + Syft？Stella Ops 可以导入它们的输出并添加可达性分析 + 审计证据：

终端

$ syft myapp:latest -o cyclonedx-json | stella analyze --save-record
从 Syft 导入 CycloneDX SBOM...
运行可达性分析...
✓ 已用可达性数据增强
✓ 扫描记录已保存

何时使用哪个

选择 Grype 如果...

⬢ 你只需要漏洞检测
⬢ 不需要审计证据
⬢ 你有能力手动分类
⬢ 你更喜欢 Apache 2.0 许可证

选择 Stella Ops 如果...

⬢ 你需要可达性分析
⬢ 审计员需要证据轨迹
⬢ 你想要确定性的、可重放的扫描
⬢ 区域合规很重要
⬢ 你被误报淹没

方法： 本对比基于截至 2026 年 1 月的公开文档、发布说明与实测评估。功能会随时间变化。建议以各厂商官方文档核实当前能力。

Stella Ops 致力于准确、公平的比较。如果你认为某些信息过时或不正确，请联系 hello@stella-ops.org。

为你的工作流添加可达性

与 Grype/Syft 配合使用或作为完全替代。

申请访问查看工作原理