常见问题

不需要。Stella Ops 将非 Kubernetes 环境作为主要使用场景设计。

我们支持 Docker、Compose、ECS、Nomad 以及无代理的 SSH/WinRM 部署。Kubernetes 受支持但不是必需的。

扫描器告诉您存在易受攻击的包。Stella Ops 告诉您的代码是否实际调用了它。

我们使用可达性分析来追踪调用路径，从而显著减少误报。我们还保存完整的扫描记录，您可以在数月后重放——这是任何扫描器都不提供的功能。

对比 Trivy · 对比 Snyk · 完整对比

可达性分析确定您的应用程序是否实际调用了依赖项中易受攻击的代码路径。

大多数 CVE 影响的代码路径您的应用从未触及。Stella 分析静态调用图、清单导入以及可选的运行时追踪，以证明哪些漏洞实际可被利用。

结果：专注于 12 个可达的 CVE，而不是 500 个理论上的。

决策胶囊将理解和重放发布决策所需的一切打包在一起：

• 工件摘要 (SHA-256)
• SBOM 快照 (CycloneDX/SPDX)
• 可达性证据（签名图）
• VEX 状态和策略版本
• 审批记录

每个组件都经过 DSSE 签名。了解更多关于证据 →

可以。Stella 100% 离线运行，无需外部依赖。

离线套件包含漏洞数据源、容器镜像和溯源数据。无论在线还是在主权网络中，您都能获得相同的扫描结果。

查看离线套件 →

审计员会收到决策胶囊——加密签名的证据包，可证明：

• 扫描了什么（确切的工件摘要）
• 发现了什么（SBOM + 可达性）
• 为什么批准（策略裁决）
• 谁批准的（签名的审批）

审计员可以独立验证签名，并使用 stella replay 离线重放决策。

Stella Ops 是可用源 (BUSL-1.1)。免费套餐受到评估限制（3 个环境，每月 999 次扫描）— 生产工作负载需要付费计划（Plus 或 Pro）。

付费计划按环境和新摘要深度扫描计量 - 无需按席位或按项目付费。每个层都包含所有功能。

查看客户报价 →

Stella Ops 功能完整，目前处于封闭 Alpha 阶段。

• 现在：Alpha — 稳定化和内部测试
• 2026 年第二季度：公开 Beta — 开放访问，签名镜像
• 2026 年第三季度：正式发布 — LTS，稳定 API

查看常见问题解答 →

Stella 将发布建模为发布图（Dev → Stage → Prod）。在每个关卡：

• 根据工件的证据评估策略
• 审批使用加密签名记录
• 为审计生成决策胶囊

发布与工件摘要绑定，而非标签。相同摘要 = 相同证据重用。

按照安装指南操作，然后运行快速入门创建您的第一个经过验证的发布。

Stella Ops Suite 在 BUSL-1.1 下源可用。您可以阅读、构建和审核代码。验证层（胶囊验证、签名检查）获得 Apache-2.0 许可。

BUSL-1.1 允许非生产自由使用。生产用途需要付费计划（Plus 或 Pro）。更改日期后（自每个版本起 4 年），代码将转换为 Apache-2.0。

此模型为可持续发展提供资金，同时保持证据链完全可审计。

环境是与策略和可选批准规则配对的指定部署目标。示例：dev、staging、生产。

每个环境定义：

• 目标 — 容器实际运行的位置（Docker 主机、Compose 项目、ECS 集群）
• 策略 — 升级的通过/失败条件（CVE 阈值、可达性门）
• 批准-在版本进入此环境之前必须签字

通过策略在环境之间促进发布门，每次促销都记录为签名证据。

免费层仅用于评估和开发。它包括全面扫描和最多 3 个环境，每月进行 999 次新摘要扫描，但不允许生产部署。

对于生产使用，您需要 Plus（最多 33 个环境）或 Pro（最多 333 个环境）。如需更大规模，请联系我们。

请参阅定价页面了解各级别详细信息。

是的。 Stella 并不是现有扫描仪的替代品 - 它是顶部控制层。您可以将 Trivy、Snyk、Grype 或任何 SARIF/CycloneDX 源的扫描结果馈送到 Stella 中，以进行可达性过滤和策略控制。

Stella 添加了独立扫描仪所缺乏的功能：可达性分析、多发行者 VEX、环境感知策略门和签名证据导出。您的扫描仪发现 CVEs； Stella 决定哪些重要并证明该决定。