SPDX 3.0.1
La dernière version ISO/IEC 5962 avec métadonnées complètes du fournisseur et expressions de licence SPDX.
Première classe SBOM et VEX
Sachez ce qu'il y a dans vos conteneurs
Générez des SBOM conformes aux normes de l'industrie et appliquez des instructions VEX provenant de plusieurs sources, avec une résolution intelligente des conflits et une vérification hors ligne intégrées.
Formats standards de l'industrie
Stella génère des SBOM dans les formats attendus par vos auditeurs et vos équipes de conformité, avec les métadonnées et la provenance complètes des composants.
CycloneDX 1.7
OWASP CycloneDX avec prise en charge intégrée de VEX et extensions de graphiques de dépendance.
Générer, vérifier et publier SBOMs des CLI
$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwritePourquoi Matters
SBOM deviennent obligatoires. Stella les rend pratiques.
Résultats reproductibles
Même image, même SBOM — à chaque fois. Les auditeurs peuvent vérifier vos résultats de manière indépendante.
Fonctionne hors ligne
Générer et vérifier des SBOM dans des environnements isolés. Aucun appel externe requis.
Compliance Ready
Répondez aux exigences de sécurité de l'EO 14028, de l'ARC de l'UE et de la chaîne d'approvisionnement avec des SBOM signés et vérifiables.
Cryptographiquement Signé
Chaque SBOM est signé et inviolable. Des preuves auxquelles vous pouvez faire confiance.
VEX : Contexte des vulnérabilités
Tous les CVE ne vous affectent pas. Les déclarations VEX (Vulnerability Exploitability eXchange) permettent aux fournisseurs et à votre propre analyse de déterminer quelles vulnérabilités sont réellement importantes pour votre déploiement spécifique.
Affecté
Non affecté
Corrigé
En cours d'enquête
VEX coupe le bruit : un CVE dans une bibliothèque que vous n'utilisez pas n'est pas votre problème. Stella applique automatiquement les instructions VEX pour concentrer votre attention sur ce qui compte.
K4 Belnap Lattice : Smart Conflict Resolution
Lorsque plusieurs sources VEX ne sont pas d'accord, Stella utilise la logique à quatre valeurs de Belnap pour calculer l'état définitif. Les conflits deviennent visibles et non masqués.
⊥
Inconnu
Aucune information pour l'instant. État par défaut avant l'application de toute instruction VEX.
T
Affecté
Au moins un émetteur affirme que cette vulnérabilité vous affecte.
F
Non affecté
Au moins un émetteur indique que vous n'êtes pas concerné.
⊤
Conflit
Plusieurs émetteurs ne sont pas d'accord. Nécessite un examen ou un remplacement par une autorité supérieure.
Le fournisseur indique « non affecté », mais votre sonde d'exécution a vu la fonction appelée ? Résultat : Conflit (⊤) – le désaccord est visible, et non silencieusement supprimé.
Pas de suppression silencieuse. Aucune hypothèse cachée. L'incertitude est suivie et mise en évidence.
Multi-Source VEX Consensus
Les fournisseurs, les distributeurs et votre propre équipe de sécurité peuvent tous publier des déclarations VEX. Stella les regroupe avec un consensus pondéré.
- Ingérez VEX provenant d'éditeurs de logiciels, de distributeurs Linux et de sources internes
- Les sources sont pondérées par autorité — vos évaluations internes peuvent remplacer les évaluations externes
- Les conflits déclenchent des workflows de révision plutôt que d'être résolus en silence
Une vue de Vérité
Au lieu de jongler avec les feuilles de calcul et les e-mails, obtenez une vue unique faisant autorité sur les vulnérabilités qui affectent réellement votre release.
Prêt pour la conformité pratique SBOM ?
Installez Stella Ops et commencez à générer des SBOM prêts pour l'auditeur avec la prise en charge multi-source de VEX.