علامات CI/CD الحمراء بموجب المادة 28 — قائمة تحقق التدقيق

بقلم

تُبرز قائمة التحقق هذه العلامات الحمراء الشائعة المتعلقة بـCI/CD بموجب المادة 28 من DORA.

كل بند يمثّل حالة يُحددها المدققون عادةً بوصفها إخفاقاً في مخاطر ICT من الأطراف الثالثة.

إذا انطبق بند واحد أو أكثر، فقد يُصنّف المدققون منصة CI/CD أو المورد على أنه عالي المخاطر أو غير ممتثل.

CI/CD Red Flags — DORA Article 28 (Third-Party Risk) Enterprise CI/CD diagram highlighting common DORA Article 28 third-party risk red flags: missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights, and missing evidence retention. CI/CD Red Flags — DORA Article 28 Third-party risk failures auditors frequently flag in Git, CI/CD SaaS, runners, registries, and cloud runtime. CROSS-CUTTING (ARTICLE 28) Supplier governance Audit rights Exit strategy Evidence retention Git Hosting GitHub / GitLab SaaS No audit rights CI/CD SaaS Orchestrator No exit plan CI Runners Cloud execution Shared runners Registries Artifacts + images No retention Cloud Runtime Prod services No sub-processor view ENGINEER REMEDIATION HINTS Tested exit strategy (CI/CD) Dedicated / isolated runners Supplier + sub-processor map Centralized logs + retention Auditor rule: if controls cannot produce time-bound evidence on demand, they are treated as ineffective under Article 28. Focus areas: CI/CD platform scope, contractual auditability, runner isolation, sub-processor governance, and evidence retention.
Enterprise CI/CD diagram highlighting common DORA Article 28 third-party risk red flags: missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights, and missing evidence retention.

قائمة تحقق العلامات الحمراء لأطراف CI/CD الثالثة (مراجعة سريعة)

الحوكمة واستراتيجية الخروج

  • ⬜ لا توجد خطة خروج موثقة لمنصات CI/CD SaaS
  • ⬜ خطة الخروج موجودة لكنها لم تُختبَر تقنياً أبداً
  • ⬜ لا توجد قدرة على تصدير سجلات وأدوات CI/CD التاريخية
  • ⬜ لا يمكن إعادة نشر المسارات على منصة بديلة

بنية CI/CD والعزل

  • ⬜ تعمل وظائف CI على مشغّلين مشتركين أو متعددي المستأجرين بدون ضمانات عزل واضحة
  • ⬜ آليات عزل المشغّل غير موثقة أو مجهولة
  • ⬜ بيئة تنفيذ CI يتحكم فيها المزوّد بالكامل
  • ⬜ الأسرار مكشوفة لسياقات تنفيذ الأطراف الثالثة

رؤية الموردين ومزودي الباطن

  • ⬜ مزوّد CI/CD SaaS غير مُدرج في جرد ICT من الأطراف الثالثة
  • ⬜ مزودو الباطن (السحابة والمشغّلون والمسجلات) غير مُحدَّدين
  • ⬜ لا يوجد تصنيف مخاطر للأطراف الثالثة المرتبطة بـCI/CD
  • ⬜ حرجية المورد لا تؤثر على الضوابط المُطبَّقة

الضوابط التعاقدية والقانونية

  • ⬜ عقود CI/CD لا تتضمن حقوق تدقيق أو فحص
  • ⬜ حقوق التدقيق موجودة لكنها غير قابلة للتطبيق فعلياً
  • ⬜ لا يوجد SLA تعاقدي لإشعار الحوادث
  • ⬜ بنود الخروج والإنهاء مفقودة أو غير واضحة

الأدلة وإمكانية التدقيق

  • ⬜ سجلات CI/CD محتفَظ بها لـفترة قصيرة أو غير محددة
  • ⬜ سجلات الموافقة والتغيير غير قابلة للتتبع
  • ⬜ بيانات تعريف الأدوات ومصادرها مفقودة
  • ⬜ الأدلة تُجمع يدوياً فحسب أثناء عمليات التدقيق

حوكمة CI/CD وتطبيق السياسات

  • ⬜ لا توجد بوابات موافقة لتغييرات المسار
  • ⬜ استخدام غير مقيّد لإضافات السوق أو الإجراءات
  • ⬜ لا يوجد تثبيت للإصدار أو مراجعة لمكوّنات CI/CD من الأطراف الثالثة
  • ⬜ الضوابط تتباين عبر المسارات بدون مبرر

قائمة تحقق بأسلوب المدقق (نعم / لا)

نقطة التحققنعملا
منصات CI/CD مُدرجة في جرد ICT من الأطراف الثالثة
موردو CI/CD مُصنَّفون حسب المخاطر
استراتيجيات الخروج موجودة وممكنة تقنياً
مشغّلو CI معزولون ومضبوطون
مزودو الباطن مُحدَّدون ومحكومون
حقوق التدقيق محددة تعاقدياً
SLAs إشعار الحوادث مطبّقة
سجلات CI/CD محتفظ بها ومحمية
الموافقات وبوابات السياسات مُنفَّذة
يمكن تقديم الأدلة عند الطلب

العلامات الحمراء موضّحة (تفسير التدقيق)

العلامة الحمراءلماذا يهتم المدققونالضابط المتوقع
لا توجد خطة خروجمخاطر الارتباط بالمورداستراتيجية خروج تقنية مُختبَرة
مشغّلون مشتركونمخاطر السرية والسلامةمشغّلون معزولون أو مخصصون
لا رؤية على مزودي الباطنتعرض مخفي للمخاطررسم خرائط كاملة لسلسلة التوريد
لا حقوق تدقيقلا تحقق مستقلبنود تدقيق قابلة للتطبيق
لا احتفاظ بالأدلةلا يمكن إثبات الضوابطاحتفاظ آلي بالسجلات

كيف يستخدم المدققون هذه القائمة

المدققون لا يتوقعون انعدام المخاطر. يتوقعون تحديد المخاطر وتطبيق الضوابط وتوفر الأدلة باستمرار.

كيفية استخدام هذه القائمة داخلياً

  • قبل التدقيق
  • بعد إلحاق مزوّد CI/CD جديد
  • ضمن مراجعات مخاطر الأطراف الثالثة
  • ربطها بقائمة تحقق أمان CI/CD وحزمة الأدلة
سياق “جاهز للتدقيق”

محتوى موجّه للبيئات الخاضعة للتنظيم: الضوابط قبل الأدوات، فرض السياسات داخل CI/CD، وتوليد الأدلة بالتصميم لأغراض التدقيق.

التركيز على التتبّع، الموافقات، حوكمة الاستثناءات، والاحتفاظ بالأدلة عبر مراحل البناء والإصدار والتشغيل.

اطّلع على المنهجية في صفحة About.