自托管发布控制平面
非 Kubernetes 资产的证据级容器部署
提取并生成 SBOM、通过可达性过滤 CVE、按摘要版本、跨环境升级或回滚 — 并导出每个决策的签名证明。
专为安全团队打造
可自建部署 | 支持 air-gap | 证据绑定 | BUSL-1.1 许可
专为需要证明而不仅仅是扫描的团队而构建
安全性
可达仅限 CVEs
平台
非 K8s 发布控制
合规性
可导出审核包
气隙
完全离线操作
核心能力
证据级发布的四大支柱
一流的SBOM和VEX
生成 SPDX/CycloneDX SBOMs,从多个发行者获取 OpenVEX,解决与 K4 晶格逻辑的冲突 — 确定性和离线功能。
了解更多可达性作为证据
三层分析 - 静态调用图,二进制符号、运行时 eBPF 探针 — 生成签名的 DSSE 证明,可减少 70-90% 的误报。
了解更多摘要优先版本控制
版本是不可变的OCI 摘要集在创建时解析 - 标签是别名,摘要是真实的,每次拉动都是可检测篡改的。
了解更多无代理部署
将容器部署到 Linux(SSH)和 Windows(WinRM)服务器,采用 canary、rolling 或 blue-green 策略——rollback 会回到已验证的 digest。
了解更多核心能力
每个决策都是可审核的
- 决策胶囊 — 每个促销都是经过签名的、可导出的证据捆绑
- 确定性重放 — 使用冻结输入重新运行任何决策,获得逐位相同的输出
- 离线验证 - 审核员无需网络访问即可验证签名和重放
终端
$ stella promote api:v2.1.0 --env staging✓ Scanning SBOM (sha256:a1b2c3d4...)
✓ Reachability analysis — 3 CVEs filtered
✓ Policy evaluation — PASS
→ Decision Capsule: capsule-2025-01-28-a7f3.json
Signed with key: stella-prod-2025 (cosign)
每次推广都会生成一个签名的决策胶囊