连接。打包。控制。部署。

Stella Ops 连接您的工具链，生成证据，控制发布，并为每个版本导出决策证明。

开始使用阅读文档

初始设置后，您将拥有：

1. 使用 SBOM + 扫描的第一张图像可达性分析
2. 证明扫描结果的签名决策胶囊
3. 从开发到阶段的完整升级，有证据

发布生命周期一览

连接、打包、门禁、部署，并导出与工件 digest 绑定证据的决策胶囊。

连接注册表、SCM、CI 和基础设施

将您的容器注册表、CI 流水线和基础设施组件链接起来，构建基于摘要的发布账本。Stella 监控新镜像并与您现有的基础设施协调。

源和注册表

→ Docker Hub、Harbor、ECR、GCR、ACR
→ GitHub、GitLab、Bitbucket Webhooks
→ Jenkins、GitHub Actions、GitLab CI

基础设施

→ HashiCorp Vault 用于机密管理
→ HashiCorp Consul 用于服务注册
→ SSH/WinRM 用于无代理目标

构建发布包

将工件摘要、SBOM 和来源作为单一发布单元捕获。该包穿越环境，在每一步积累证据。

→ CycloneDX / SPDX SBOM 生成
→ SLSA 来源证明
→ 内容寻址的工件身份 (SHA-256)

使用混合可达性 + 策略控制

在每次发布时根据证据评估策略。混合可达性分析使用三层来确定您的代码实际调用了哪些漏洞：

1. 静态分析

从字节码/源代码提取调用图

2. 清单分析

import/require 语句、依赖树

3. 运行时跟踪

可选的性能分析数据以提高置信度

终端

$ stella gate evaluate --env stage --artifact sha256:abc123...
✓ 在依赖中发现 487 个 CVE
✓ 475 个不可达（混合分析）
! 12 个可达（按策略评估）
策略裁决：PASS — 12 个可达 CVE 低于阈值
Gate 评估已保存：evidence/gate-stage-2025-07-15.json

结果：显著减少误报，相比传统的 CVE 计数。

部署 + 导出决策胶囊

执行部署到您的目标并导出签名的证据包。通过 SSH/WinRM 配置环境进行无代理部署，或使用内置提供程序。

部署目标

→ Docker Compose 部署
→ AWS ECS / Fargate
→ HashiCorp Nomad
→ 脚本化部署 (.NET 10)

环境设置

→ SSH 用于 Linux/Unix 目标
→ WinRM 用于 Windows 目标
→ Vault 用于密钥注入
→ Consul 用于服务发现

决策胶囊经过 DSSE 签名，包含审计导出和确定性重放所需的一切。

可达性的差异

无可达性分析

487 个 CVE 需要分类
数天的调查
无审计跟踪
猜测可利用性
临时例外

使用 Stella Ops

12 个可达 CVE 需要修复
数小时内解决
决策胶囊导出
证明调用路径
策略驱动的控制

审计员获得什么

每个决策胶囊包含：

精确的工件摘要 (SHA-256)
SBOM 快照 (CycloneDX/SPDX)
可达性证据（签名图）
策略版本 + 裁决
VEX 状态（按格模型裁决）
签名的审批记录

审计员可以独立验证签名，并使用 stella replay 离线重放决策。

准备好看它实际运行了吗？

开始使用阅读文档

查看所有功能 · 证据与审计 · 文档