اختيار أداة SAST — جدول تدقيق المؤسسات
النطاق: تقييم أداة اختبار أمان التطبيقات الثابت (SAST) لبيئات CI/CD المؤسسية والخاضعة للتنظيم.
| # | مجال التحكم | سؤال التدقيق | نعم | لا |
|---|---|---|---|---|
| 1 | الحوكمة | هل تدعم الأداة التطبيق القائم على السياسات (حجب / تحذير / إبلاغ فحسب)؟ | ☐ | ☐ |
| 2 | الحوكمة | هل يمكن تعريف السياسات لكل تطبيق أو فريق أو بيئة؟ | ☐ | ☐ |
| 3 | الحوكمة | هل سياسات الأمن خاضعة للتحكم في الإصدار وقابلة للتدقيق؟ | ☐ | ☐ |
| 4 | الحوكمة | هل يمكن تخصيص القواعد (الخطورة والنطاق والاستثناءات)؟ | ☐ | ☐ |
| 5 | تكامل CI/CD | هل تتكامل الأداة أصلاً مع منصات CI/CD المؤسسية؟ | ☐ | ☐ |
| 6 | تكامل CI/CD | هل يمكن تشغيل عمليات الفحص تلقائياً على طلبات السحب / عمليات الدمج / المسارات؟ | ☐ | ☐ |
| 7 | تكامل CI/CD | هل يمكن حجب المسار استناداً إلى شروط السياسة؟ | ☐ | ☐ |
| 8 | تكامل CI/CD | هل يمكن الوصول إلى النتائج عبر API أو تصدير (JSON وCSV وما إلى ذلك)؟ | ☐ | ☐ |
| 9 | تجربة المطور | هل تُعيَّن النتائج بوضوح إلى مواقع كود المصدر؟ | ☐ | ☐ |
| 10 | تجربة المطور | هل تُقدَّم توجيهات معالجة للنتائج؟ | ☐ | ☐ |
| 11 | تجربة المطور | هل يمكن كتم الإيجابيات الكاذبة مع تقديم المبرر؟ | ☐ | ☐ |
| 12 | الدقة | هل منطق الكشف قابل للتفسير (وليس صندوقاً أسود فحسب)؟ | ☐ | ☐ |
| 13 | الدقة | هل معدل الإيجابيات الكاذبة مقبول على قواعد الكود الحقيقية؟ | ☐ | ☐ |
| 14 | التغطية | هل تُغطي الأداة جميع لغات الإنتاج في النطاق؟ | ☐ | ☐ |
| 15 | التغطية | هل تُصان مجموعات القواعد وتُحدَّث بنشاط؟ | ☐ | ☐ |
| 16 | الأداء | هل أوقات الفحص متوافقة مع قيود تنفيذ CI/CD؟ | ☐ | ☐ |
| 17 | الأداء | هل تعمل الأداة بنطاق واسع عبر مستودعات وفرق متعددة؟ | ☐ | ☐ |
| 18 | الإبلاغ | هل توفر الأداة الاتجاهات التاريخية وتقادم الثغرات؟ | ☐ | ☐ |
| 19 | الإبلاغ | هل يمكن إنشاء تقارير لأغراض التدقيق (وليس لوحات المعلومات فحسب)؟ | ☐ | ☐ |
| 20 | الأدلة | هل تحمل النتائج طوابع زمنية وتُنسب إلى تشغيل مسار محدد؟ | ☐ | ☐ |
| 21 | الأدلة | هل يمكن الاحتفاظ بالأدلة وفق سياسات احتفاظ محددة؟ | ☐ | ☐ |
| 22 | الامتثال | هل تُعيَّن النتائج إلى CWE / OWASP Top 10؟ | ☐ | ☐ |
| 23 | الامتثال | هل يمكن للمخرجات دعم عمليات تدقيق ISO 27001 / SOC 2 / DORA / NIS2؟ | ☐ | ☐ |
| 24 | العمليات | هل تدعم الأداة الإدارة المركزية؟ | ☐ | ☐ |
| 25 | العمليات | هل العبء التشغيلي مقبول على النطاق المؤسسي؟ | ☐ | ☐ |
| 26 | المورد | هل توجد خارطة طريق واضحة للدعم والتحديث؟ | ☐ | ☐ |
| 27 | الاستراتيجية | هل يمكن للأداة التطور من الرؤية فحسب إلى الضابط المُنفَّذ؟ | ☐ | ☐ |
| 28 | الاستراتيجية | هل تتلاءم الأداة مع نموذج SDLC الآمن في المؤسسة؟ | ☐ | ☐ |
ملخص نتيجة التدقيق (اختياري)
| مجال القرار | التقييم |
|---|---|
| جاهزية الحوكمة | ⬜ نجاح ⬜ مشروط ⬜ إخفاق |
| ملاءمة CI/CD | ⬜ نجاح ⬜ مشروط ⬜ إخفاق |
| مخاطر تبني المطورين | ⬜ منخفضة ⬜ متوسطة ⬜ عالية |
| الجاهزية للتدقيق | ⬜ كافية ⬜ جزئية ⬜ غير كافية |
| القرار الإجمالي | ⬜ موافقة ⬜ موافقة مشروطة ⬜ رفض |
توجيهات المدقق
لا ينبغي الموافقة على أداة SAST لبيئات CI/CD المؤسسية إذا:
- تعذّر تطبيق السياسات تلقائياً،
- أو تعذّر تصدير النتائج كأدلة تدقيق،
- أو كان المطورون يتجاوزون الأداة بشكل منهجي.
الأسئلة الشائعة — التركيز على الجاهزية للتدقيق
س1. كيف يُقيّم المدققون ضوابط SAST؟
يُقيّم المدققون الاتساق والتطبيق وإمكانية التتبع والأدلة — وليس مجرد أعداد الثغرات.
س2. ما أدلة SAST التي يُطلَب تقديمها عادةً أثناء التدقيق؟
سجلات تنفيذ المسار وتكوينات السياسة وسجلات الموافقة ومبررات الكتم ونتائج الفحص التاريخية.
س3. هل تنفيذ SAST يدوياً مقبول للتدقيق؟
عمليات الفحص اليدوية ضوابط هشة. يتوقع المدققون تنفيذاً آلياً مُنفَّذاً داخل مسارات CI/CD.
