Підключити. Упакувати. Контролювати. Розгорнути.

пакет «Стелла» підключає ваш ланцюг інструментів, генерує докази, контролює просування та експортує доказ рішення для кожного релізу.

Розпочати Читати документацію

Після початкового налаштування ви матимете:

  • 1. Ваше перше зображення, відскановане за допомогою SBOM + аналіз доступності
  • 2. Підписана капсула рішень, що підтверджує результати сканування
  • 3. Один повний перехід від розробника до постановки з доказами

Життєвий цикл релізу — швидкий огляд

Підключіть, зберіть, пройдіть gate, розгорніть і експортуйте капсулу рішень з доказами, прив’язаними до дайджесту артефакту.

Діаграма життєвого циклу релізуПідключитиЗібратиGateРозгорнутиКапсула рішеньДокази запечатуються на кожному кроці
1

Підключити реєстр, SCM, CI та інфраструктуру

Зв'яжіть ваші реєстри контейнерів, CI-пайплайни та компоненти інфраструктури для побудови книги релізів на основі хешів. Стелла відстежує нові образи та координується з вашою існуючою інфраструктурою.

Джерело та реєстр

  • → Docker Hub, Харбор, ECR, GCR, ACR
  • → GitHub, GitLab, Bitbucket Webhooks
  • → Дженкінс, GitHub Actions, GitLab CI

Інфраструктура

  • HashiCorp Vault для секретів
  • HashiCorp Consul для реєстру сервісів
  • SSH/WinRM для безагентних цілей
2

Створити бандл релізу

Захопіть хеші артефактів, SBOM та походження як єдину одиницю просування. Бандл проходить через середовища, накопичуючи докази на кожному кроці.

  • → Генерація SBOM CycloneDX / SPDX
  • → Атестація походження SLSA
  • → Адресована за вмістом ідентифікація артефакту (SHA-256)
3

Контролювати з гібридною досяжністю + політикою

Оцінюйте політику проти доказів на кожному просуванні. Гібридний аналіз досяжності використовує три рівні для визначення того, які вразливості ваш код фактично викликає:

1. Статичний аналіз

Видобування графа викликів з байт-коду/вихідного коду

2. Аналіз маніфестів

Оператори import/require, дерева залежностей

3. Runtime-трасування

Опціональні дані профілювання для підвищеної впевненості

Термінал
$ stella gate evaluate --env stage --artifact sha256:abc123...
 487 CVE знайдено в залежностях
 475 НЕ ДОСЯЖНІ (гібридний аналіз)
! 12 ДОСЯЖНІ (оцінені політикою)
Вердикт політики: PASS — 12 досяжних CVE нижче порогу
Оцінку gate збережено: evidence/gate-stage-2025-07-15.json

Результат: значно менше хибних спрацювань порівняно з традиційним підрахунком CVE.

4

Розгорнути + експортувати Капсулу рішення

Виконайте розгортання на ваші цілі та експортуйте підписаний пакет доказів. Налаштуйте середовища через SSH/WinRM для безагентного розгортання або використовуйте вбудовані провайдери.

Цілі розгортання

  • → Розгортання Docker Compose
  • → AWS ECS / Fargate
  • → HashiCorp Nomad
  • → Скриптові розгортання (.NET 10)

Налаштування середовища

  • SSH для Linux/Unix цілей
  • WinRM для Windows цілей
  • Vault для ін'єкції секретів
  • Consul для виявлення сервісів

Капсули рішень підписані DSSE та містять все для експорту аудиту та детермінованого відтворення.

Різниця досяжності

Без досяжності

  • 487 CVE для сортування
  • Дні розслідування
  • Немає аудиторського сліду
  • Вгадувати експлуатованість
  • Ad-hoc винятки

Зі Стеллою

  • 12 досяжних CVE для виправлення
  • Години до вирішення
  • Експорт Капсули рішення
  • Доказ шляхів викликів
  • Контрольні точки, керовані політикою

Що отримують аудитори

Кожна Капсула рішення містить:

  • Точний дайджест артефакту (SHA-256)
  • Знімок SBOM (CycloneDX/SPDX)
  • Докази досяжності (підписані графи)
  • Версія політики + вердикт
  • Стан VEX (вирішено за lattice)
  • Підписані записи схвалень

Аудитори можуть незалежно перевірити підписи та відтворити рішення офлайн за допомогою stella replay.

Готові побачити в дії?

Розпочати Читати документацію

Переглянути всі можливості · Докази та аудит · Документація