SPDX 3.0.1
Die neueste ISO/IEC 5962-Standard mit vollständigen Lieferantenmetadaten und SPDX-Lizenzausdrücken.
Erstklassige SBOM und VEX
Wissen Sie, was sich in Ihren Containern befindet
Generieren Sie branchenübliche SBOMs und wenden Sie VEX-Anweisungen aus mehreren Quellen an – mit integrierter intelligenter Konfliktlösung und Offline-Verifizierung.
Branchenstandardformate
Stella generiert SBOMs in den Formaten, die Ihre Prüfer und Compliance-Teams erwarten, mit vollständigen Metadaten und Herkunft der Komponenten.
CycloneDX 1.7
OWASP CycloneDX mit integrierter VEX-Unterstützung und Abhängigkeitsdiagrammerweiterungen.
Generieren, überprüfen und veröffentlichen SBOMs aus der CLI
$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwriteWarum es Matters
SBOMs werden obligatorisch. Stella macht sie praktisch.
Reproduzierbare Ergebnisse
Gleiches Bild, gleicher SBOM – jedes Mal. Prüfer können Ihre Ergebnisse unabhängig überprüfen.
Funktioniert offline
Generieren und überprüfen Sie SBOMs in Air-Gap-Umgebungen. Keine externen Anrufe erforderlich.
Compliance-bereit
Erfüllen Sie EO 14028, EU CRA und die Sicherheitsanforderungen der Lieferkette mit signierten, überprüfbaren SBOMs.
Kryptographisch Signiert
Alle SBOM ist signiert und manipulationssicher. Beweise, denen Sie vertrauen können.
VEX: Kontext für Schwachstellen
Nicht jeder CVE betrifft Sie. Mit VEX (Vulnerability Exploitability eXchange)-Anweisungen können Anbieter und Ihre eigene Analyse sagen, welche Schwachstellen für Ihre spezifische Bereitstellung tatsächlich von Bedeutung sind.
Betroffen
Nicht betroffen
Behoben
Untersuchung
VEX schneidet durch: Ein CVE in einer Bibliothek, die Sie nicht verwenden, ist nicht Ihr Problem. Stella wendet VEX-Anweisungen automatisch an, um Ihre Aufmerksamkeit auf das Wesentliche zu lenken.
K4 Belnap Lattice: Smart Conflict Resolution
Wenn mehrere VEX-Quellen nicht übereinstimmen, verwendet Stella Belnaps vierwertige Logik, um den endgültigen Status zu berechnen. Konflikte werden sichtbar und nicht verborgen.
⊥
Unbekannt
Noch keine Informationen. Standardstatus, bevor eine VEX-Anweisung angewendet wird.
T
Betroffen
Mindestens ein Aussteller gibt an, dass diese Sicherheitslücke Sie betrifft.
F
Nicht betroffen
Mindestens ein Aussteller gibt an, dass Sie nicht betroffen sind.
⊤
Konflikt
Mehrere Emittenten sind anderer Meinung. Erfordert Überprüfung oder Überschreibung durch eine höhere Autorität.
Der Hersteller sagt „nicht betroffen“, aber Ihr Laufzeittest hat die aufgerufene Funktion erkannt? Ergebnis: Konflikt (⊤) – die Meinungsverschiedenheit ist sichtbar und wird nicht stillschweigend unterdrückt.
Keine stille Unterdrückung. Keine versteckten Annahmen. Unsicherheit wird verfolgt und aufgedeckt.
Multi-Source VEX Konsens
Anbieter, Distributoren und Ihr eigenes Sicherheitsteam können alle VEX-Erklärungen veröffentlichen. Stella aggregiert sie mit gewichtetem Konsens.
- Nehmen Sie VEX von Softwareanbietern, Linux-Distributoren und internen Quellen auf
- Quellen werden nach Autorität gewichtet – Ihre internen Bewertungen können externe überschreiben
- Konflikte lösen Überprüfungsworkflows aus, anstatt stillschweigend gelöst zu werden
One View of Truth
Anstatt mit Tabellenkalkulationen und E-Mails zu jonglieren, erhalten Sie eine einzige, verlässliche Ansicht darüber, welche Schwachstellen tatsächlich Ihr Unternehmen betreffen Veröffentlichung.
Bereit für die praktische SBOM-Konformität?
Installieren Sie Stella Ops und beginnen Sie mit der Generierung prüfungsbereiter SBOMs mit Multi-Source-VEX-Unterstützung.