SPDX 3.0.1
最新的 ISO/IEC 5962 标准,包含完整的供应商元数据和 SPDX 许可证表达式。
一流的SBOM和VEX
了解容器中的内容
生成行业标准 SBOM 并应用来自多个的 VEX 语句来源——内置智能冲突解决和离线验证。
行业标准格式
Stella 按照审核员和合规团队期望的格式生成 SBOM,并具有完整的组件元数据和出处。
CycloneDX 1.7
OWASP CycloneDX 具有集成的 VEX 支持和依赖关系图扩展。
从 CLI 生成、验证并发布 SBOM
$ stella sbom generate --image myapp:v2.1.0 --format spdx-json
stella sbom verify --archive sbom.tar.gz --offline\nstella sbom publish --image myapp:v2.1.0 --overwrite为什么重要
SBOMs 正在变得强制性。 Stella 使它们变得实用。
可重现的结果
每次都是相同的图像,相同的SBOM。审核员可以独立验证您的结果。
离线工作
在气隙环境中生成并验证 SBOM。无需外部调用。
合规性就绪
通过签名、可验证的 SBOMs 满足 EO 14028、EU CRA 和供应链安全要求。
加密签名
每个 SBOM 都经过签名并防篡改。您可以信任的证据。
VEX:漏洞上下文
并非每个 CVE 都会影响您。 VEX(漏洞利用交换)声明让供应商和您自己的分析能够说明哪些漏洞对您的特定部署实际上很重要。
受影响的
不受影响
已修复
正在调查
VEX削减穿过噪音:您不使用的库中的 CVE 不是您的问题。 Stella 自动应用 VEX 语句,将您的注意力集中在重要的事情上。
__学期_20__ Belnap Lattice:智能冲突解决
当多个VEX来源不同意时,Stella使用Belnap的四值逻辑来计算最终结果状态。冲突变得可见,而不是隐藏。
⊥
未知
尚无信息。任何 VEX 语句应用之前的默认状态。
T
受影响的
至少有一个发行者表示此漏洞会影响您。
F
不受影响
至少有一个发行人表示您不受影响
⊤
冲突
多个发行者不同意。需要审核或更高权限的覆盖。
供应商说“不受影响”,但您的运行时探针看到了调用的函数?结果:冲突 (⊤) — 分歧是可见的,而不是默默地压制。
无静默压制。没有隐藏的假设。跟踪并浮现不确定性。
多源 VEX 共识
供应商、分销商和您自己的安全团队都可以发布 VEX 声明。 Stella 通过加权共识聚合它们。
- 从软件供应商、Linux 分销商和内部来源获取 VEX
- 来源按权威加权 - 您的内部评估可以覆盖外部评估
- 冲突会触发审核工作流程而不是默默地解决
真相的一个视图
无需处理电子表格和电子邮件,而是获得一个权威视图,了解哪些漏洞实际影响您的发布。
准备好实际的SBOM合规性了吗?
安装 Stella Ops 并开始生成具有多源 VEX 支持的审计就绪 SBOM。