SPDX 3.0.1
Най-новият ISO/IEC 5962 стандарт с пълни метаданни за доставчика и SPDX лицензни изрази.
Първокласен SBOM & VEX
Знайте какво има в контейнерите ви
Генерирайте индустриално-стандартни SBOM-и и прилагайте VEX декларации от много източници — с вградено разрешаване на конфликти и офлайн верификация.
Индустриално-стандартни формати
Stella генерира SBOM-и във форматите, които аудиторите и екипите по съответствие очакват.
CycloneDX 1.7
OWASP CycloneDX с интегрирана VEX поддръжка и разширения за граф на зависимостите.
Генерирайте, верифицирайте и публикувайте SBOM-и от CLI
$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwriteЗащо е важно
SBOM-ите стават задължителни. Stella ги прави практични.
Възпроизводими резултати
Същият имидж, същият SBOM — всеки път. Аудиторите могат да верифицират резултатите ви независимо.
Работи офлайн
Генерирайте и верифицирайте SBOM-и в изолирани среди. Не са нужни външни извиквания.
Готовност за съответствие
Изпълнете изискванията на EO 14028, EU CRA и сигурността на веригата на доставки с подписани, верифицируеми SBOM-и.
Криптографски подписани
Всеки SBOM е подписан и защитен от подправяне. Доказателство, на което можете да вярвате.
VEX: Контекст за уязвимостите
Не всяко CVE ви засяга. VEX декларациите позволяват на доставчиците и вашия анализ да кажат кои уязвимости наистина имат значение.
Засегнат
Не е засегнат
Поправен
В разследване
VEX премахва шума: CVE в библиотека, която не използвате, не е ваш проблем. Stella прилага VEX декларации автоматично.
K4 Belnap решетка: Интелигентно разрешаване на конфликти
Когато множество VEX източници не са съгласни, Stella използва четиризначната логика на Belnap за изчисляване на окончателното състояние. Конфликтите стават видими, не скрити.
⊥
Неизвестно
Няма информация още. Състояние по подразбиране преди VEX декларация.
Т
Засегнат
Поне един издател твърди, че тази уязвимост ви засяга.
Е
Не е засегнат
Поне един издател твърди, че не сте засегнати.
⊤
Конфликт
Множество издатели не са съгласни. Изисква преглед или override от по-висок авторитет.
Доставчикът казва „не е засегнат“, но вашият runtime probe е видял извикване на функцията? Резултат: Конфликт (⊤) — несъгласието е видимо, не прикрито.
Без мълчаливо потискане. Без скрити предположения. Несигурността се проследява и показва.
Многоизточников VEX консенсус
Доставчици, дистрибутори и вашият екип по сигурност могат всички да публикуват VEX декларации. Stella ги агрегира и обработва несъгласията автоматично.
- Импортирайте VEX от софтуерни доставчици, Linux дистрибутори и вътрешни източници
- Теглови консенсус при несъгласие на източниците — конфликтите стават видими
- Вашите вътрешни оценки могат да презапишат външни декларации
Една версия на истината
Вместо да жонглирате с таблици и имейли, получете един авторитетен изглед за това кои уязвимости засягат вашия рилийз.
Готови за практично SBOM съответствие?
Инсталирайте Пакет „Стела“ и започнете да генерирате SBOM-и готови за аудит с многоизточникова VEX поддръжка.