谁使用 Stella Ops
从分类 CVE 的安全团队到准备审计的合规官员,Stella Ops 为任何需要可验证、可重复发布的人提供服务决定。
小型团队免费:最多 3 个环境,每月 999 次扫描
安全性
可达仅限 CVEs
- → 使用可达性上下文对 CVE 进行分类 — 重点关注实际可利用的内容
- → 使用明确的预算跟踪未知(未修补、无修复、有争议)
- → 生成签名下游消费者的 VEX 语句
- → 审查版本之间的风险增量,而不是整个 SBOMs
典型结果:需要调查的 CVE 显著减少
平台
非 K8s 发布控制
- → 使用批准门定义升级图(开发→暂存→生产)
- → 部署到 Compose、Swarm、ECS、Nomad 或脚本化主机
- → 与现有 CI 集成(GitHub Actions、GitLab CI、 Jenkins)
- → 使用摘要优先版本控制 - 不可变工件、不可变责任
典型结果:覆盖所有非 K8s 目标的安全+部署一体化视图
合规性
可导出审核包
- → 导出任何历史版本的决策胶囊
- → 几个月后使用冻结输入重播决策 - 相同的结果
- → 满足 SOC 2、FedRAMP 和供应链审计要求
- → 没有供应商锁定:胶囊是独立的,可离线验证
典型结果:借助可导出胶囊将审计准备从数天缩短到数分钟
气隙
完全离线操作
- → 使用离线套件(签名的提要包)完全离线运行
- → 选择加密配置文件:FIPS-140-3、GOST、SM2/SM3、eIDAS
- → 无强制遥测;产品遥测是选择加入的
- → 将胶囊导出到外部网络进行外部审计
典型结果:断网环境下完整安全扫描,周度包更新
什么是证据包?
决策胶囊密封证据,以便审核员可以验证任何发布 — 离线、独立、逐位相同。
内容
每个决策胶囊包含确切的 SBOM、冻结的漏洞源、可达性图、策略版本、派生的 VEX 和审批元数据。
重放
使用 stella replay 重新运行任何历史决策。相同的输入产生相同的输出,离线或在线均可。
主权就绪意味着什么
主权意味着您控制基础设施、密钥和证据。Stella Ops 无需强制性外部依赖即可运行,并为每个发布决策生成可验证的证据。
自托管控制平面
无强制 SaaS 依赖。在您的基础设施上部署整个套件——本地、私有云或气隙网络。
气隙 / 默认离线模式
漏洞数据源和验证数据通过签名包传输。核心决策无需强制性外部流量即可工作。
区域加密配置文件
合规驱动加密的插件架构。FIPS-140-3、GOST R 34.10、SM2/SM3 或 eIDAS 合格签名。