对比
Stella Ops 对比 Grype
Grype 发现漏洞。
Stella Ops 证明哪些重要并保留审计证据。
核心差异
Grype(来自 Anchore)擅长快速、准确的漏洞检测。但当审计员问「为什么你把 CVE-2024-1234 标记为不受影响?」时,Grype 帮不了你。
Stella Ops 保存一切:SBOM、公告状态、可达性证明和加密印章。数月后重放任何扫描,结果相同。
功能对比
| 能力 | Grype | Stella Ops |
|---|---|---|
CVECommon Vulnerabilities and Exposures - a unique identifier for a publicly known security vulnerability CVE 检测 | 是 | 是 |
SBOMSoftware Bill of Materials - a complete list of all packages and dependencies in your software SBOM 集成 | 是 (via Syft) | 是 (built-in) |
| 离线操作 | 是 | 是 |
| 扫描速度 | 快速 | 快速 |
| 可达性分析 | 否 | 是 |
| 审计证据 | 否 | 是 |
| 确定性重放 | 否 | 是 |
VEXVulnerability Exploitability eXchange - machine-readable statements about whether vulnerabilities are actually exploitable in your context VEX 支持 | 基础 | 完整(OpenVEX) |
| 多源公告 | 是 | 是 (30+) |
| 区域合规 | 否 | FIPSFederal Information Processing Standards - U.S. government cryptographic standards for secure systems, GOSTRussian national cryptographic standards (GOST R 34.10/34.11) required for government systems, SM2Chinese national public key cryptography standard (part of ShangMi suite) required for regulated industries |
| 许可证 | Apache 2.0 | BUSL-1.1 |
审计问题
场景:部署 6 个月后。审计员问为什么 CVE-2024-1234 在发布时被标记为「不受影响」。
使用 Grype
「我们...当时检查过?公告已经变了。我们无法证明我们看到了什么。」
使用 Stella Ops
「这是扫描记录。它显示了当天的确切公告状态,证明易受攻击代码路径未被调用的可达性分析,以及证明什么都没改过的加密签名。」
工作流对比
Grype 工作流
$ grype myapp:latest
NAME INSTALLED FIXED-IN TYPE VULNERABILITY SEVERITY
openssl 3.0.1 3.0.2 rpm CVE-2024-1234 High
libxml2 2.9.4 2.9.14 rpm CVE-2024-5678 Critical
...
(共 487 个漏洞)你得到列表。现在手动调查每一个。
Stella Ops 工作流
$ stella scan myapp:latest
✓ 发现 487 个 CVE
✓ 475 个不可达(含证据)
! 12 个可达
扫描记录:myapp-2024-01-15.json
- SBOM 快照
- 通告状态(冻结)
- 可达性证据
- 加密封印可操作结果 + 审计证据,一次扫描。
超越扫描:部署
Grype 是扫描器——它发现漏洞但不编排发布。
Stella Ops 是完整的发布控制平面,内置部署执行:
部署目标
- → Docker Compose 部署
- → Docker Swarm 集群
- → AWS ECS / Fargate
- → HashiCorp Nomad
- → 脚本化部署 (.NET 10)
基础设施集成
- → SSH/WinRM 无代理部署
- → HashiCorp Vault 机密管理
- → HashiCorp Consul 服务注册
- → 环境发布 (Dev→Stage→Prod)
- → 审批工作流
扫描 → 控制 → 部署 → 导出证据——一个平台搞定。
一起使用
已在使用 Grype + Syft?Stella Ops 可以导入它们的输出并添加可达性分析 + 审计证据:
$ syft myapp:latest -o cyclonedx-json | stella analyze --save-record
从 Syft 导入 CycloneDX SBOM...
运行可达性分析...
✓ 已用可达性数据增强
✓ 扫描记录已保存何时使用哪个
选择 Grype 如果...
- • 你只需要漏洞检测
- • 不需要审计证据
- • 你有能力手动分类
- • 你更喜欢 Apache 2.0 许可证
选择 Stella Ops 如果...
- • 你需要可达性分析
- • 审计员需要证据轨迹
- • 你想要确定性的、可重放的扫描
- • 区域合规很重要
- • 你被误报淹没
方法: 本对比基于截至 2026 年 1 月的公开文档、发布说明与实测评估。功能会随时间变化。建议以各厂商官方文档核实当前能力。
Stella Ops 致力于准确、公平的比较。如果你认为某些信息过时或不正确,请联系 hello@stella-ops.org。