Seguridad y divulgación responsable

Reportar una vulnerabilidad

Correo electrónico: security@stella-ops.org

PGP: 9BCF 5D1D 6EA9 8F99 24F4 6071 B618 ABAF 7D23 C65D 7A86 77E8 2DE3 7815 6126 F723

Por favor incluye:

• Impacto + componente/versión afectada
• Pasos de reproducción o PoC
• Registros/capturas de pantalla relevantes
• Su preferido cronograma de divulgación

Reconocemos dentro de las 72 horas y lo mantenemos informado hasta que se publica una solución.

Verifique lo que ejecuta

Claves: /keys/

Verificar una imagen de contenedor

cosign verify \
  --key https://stella-ops.org/keys/cosign.pub \
  registry.stella-ops.org/stella-ops/stella-ops:<VERSION>

Verificar un tarball del kit sin conexión + manifiesto firmado

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature stella-ops-offline-kit-<DATE>.tgz.sig \
  stella-ops-offline-kit-<DATE>.tgz

cosign verify-blob \
  --key https://stella-ops.org/keys/cosign.pub \
  --signature offline-manifest-<DATE>.json.jws \
  offline-manifest-<DATE>.json

Protección en el servicio

• Integridad de la versión: firmas conjuntas + paquetes DSSE que hacen referencia a la etiqueta Git exacta
• Cadena de evidencia: las cápsulas de decisión están firmadas y se pueden reproducir (consulte /evidence/).
• Registros de acceso: almacenados durante 7 días, luego ip → sha256(ip)
• Libro de acceso JWT: almacena hash de ID de token únicamente (sin correo electrónico/IP)
• Validación de token: se puede verificar sin conexión usando claves públicas publicadas
• Refuerzo de contenedor: UID no raíz, límites de CPU/RAM, compatibilidad con SELinux/AppArmor
• Paridad de espacio de aire: kit sin conexión (consulte /offline/)

No hay telemetría obligatoria

Sin análisis, rastreadores, píxeles ni JS de terceros en la interfaz de usuario web. La telemetría del producto está deshabilitada de forma predeterminada y es estrictamente voluntaria.

Detalles de privacidad: /privacy/