العلامات الحمراء في المادة 28 من DORA: إخفاقات مخاطر الأطراف الثالثة في CI/CD

بقلم

نادراً ما تنشأ إخفاقات المادة 28 من DORA بسبب سياسات مفقودة.

بل تنشأ من نقاط ضعف خفية في مسارات CI/CD المعتمدة على الأطراف الثالثة التي لا تظهر إلا أثناء عمليات التدقيق أو الحوادث.

يبحث المدققون عن العلامات الحمراء — المؤشرات التي تدل على أن مخاطر ICT من الأطراف الثالثة غير مُدارة، أو غير مُنفَّذة، أو غير مدعومة بالأدلة.

تُعدّ منصات CI/CD مصدراً متكرراً لهذه النتائج لأنها تجمع بين الخدمات الخارجية والتنفيذ الامتيازي والأتمتة.

تُبرز هذه المقالة أكثر العلامات الحمراء شيوعاً المتعلقة بمسارات CI/CD في إطار المادة 28، وسبب أهميتها، وكيف يفسّرها المدققون.

CI/CD Red Flags — DORA Article 28 (Third-Party Risk) Enterprise CI/CD diagram highlighting common DORA Article 28 third-party risk red flags: missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights, and missing evidence retention. CI/CD Red Flags — DORA Article 28 Third-party risk failures auditors frequently flag in Git, CI/CD SaaS, runners, registries, and cloud runtime. CROSS-CUTTING (ARTICLE 28) Supplier governance Audit rights Exit strategy Evidence retention Git Hosting GitHub / GitLab SaaS No audit rights CI/CD SaaS Orchestrator No exit plan CI Runners Cloud execution Shared runners Registries Artifacts + images No retention Cloud Runtime Prod services No sub-processor view ENGINEER REMEDIATION HINTS Tested exit strategy (CI/CD) Dedicated / isolated runners Supplier + sub-processor map Centralized logs + retention Auditor rule: if controls cannot produce time-bound evidence on demand, they are treated as ineffective under Article 28. Focus areas: CI/CD platform scope, contractual auditability, runner isolation, sub-processor governance, and evidence retention.
Enterprise CI/CD diagram highlighting common DORA Article 28 third-party risk red flags: missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights, and missing evidence retention.

لماذا تهمّ علامات CI/CD الحمراء في إطار المادة 28

في ظل DORA، مخاطر الأطراف الثالثة ليست نظرية. يُقيّم المدققون ما إذا كان فشل مزوّد طرف ثالث قد يُعطّل الخدمات الحرجة، أو يُخلّ بسلامة الأنظمة، أو يحول دون الوفاء بالالتزامات التنظيمية.

كثيراً ما تكون مسارات CI/CD نقاط فشل وحيدة في تسليم البرمجيات. لذلك تُعامَل العلامات الحمراء في هذا المجال بوصفها نتائج عالية الخطورة.

العلامة الحمراء #1 — غياب خطة الخروج من منصات CI/CD SaaS

ما يرصده المدققون

تعتمد المؤسسات اعتماداً كبيراً على منصات CI/CD SaaS لكنها لا تستطيع إثبات: كيفية ترحيل المسارات، واسترجاع السجلات والأدوات التاريخية، والحفاظ على الاستمرارية إذا أصبح المزوّد غير متاح.

لماذا تُعدّ علامة حمراء

تشترط المادة 28 من DORA صراحةً وجود استراتيجيات خروج لمزودي ICT الحرجين من الأطراف الثالثة. خطة الخروج الورقية فحسب — دون جدوى تقنية — تُعدّ غير كافية.

“المؤسسة مقيّدة تشغيلياً بمزوّد ICT حرج.”

العلامة الحمراء #2 — مشغّلو CI المشتركون عبر المستأجرين

تُنفَّذ وظائف CI على مشغّلين مشتركين أو بنية تحتية متعددة المستأجرين مع رؤية محدودة لضوابط العزل. كثيراً لا تستطيع المؤسسات تفسير كيفية تطبيق عزل المشغّل، أو من يتحكم في بيئة التنفيذ، أو ما إذا كان تسرب البيانات يُمنع تقنياً.

يُثير ذلك بموجب المادة 28 تساؤلات حول تصنيف مخاطر المورد وفاعلية الضوابط.

العلامة الحمراء #3 — غياب الرؤية على مزودي الباطن

تتعاقد المؤسسات مع مزوّد CI/CD أو Git رئيسي، لكنها تفتقر إلى الرؤية على مزودي الباطن (مزودو السحابة والمشغّلون والمسجلات وخدمات المراقبة). تتوقف سجلات الموردين عادةً عند المستوى الأول.

تشترط المادة 28 من DORA الرقابة ليس فحسب على المزودين المباشرين بل أيضاً على سلاسل التعاقد من الباطن الحرجة.

العلامة الحمراء #4 — غياب حقوق التدقيق في عقود CI/CD

العقود مع مزودي CI/CD أو Git SaaS تفتقر إلى بنود التدقيق أو الفحص، أو تتضمن حقوق تدقيق غير قابلة للتطبيق عملياً. بدون حقوق التدقيق لا يمكن التحقق المستقل من الضوابط، ويصبح الاعتماد على ضمانات المورد أمراً لا مفر منه. يعامل المدققون ذلك بوصفه فجوة امتثال هيكلية.

العلامة الحمراء #5 — غياب الاحتفاظ بالأدلة لأنشطة CI/CD

تُولّد منصات CI/CD سجلات وموافقات وآثار تنفيذ، لكن السجلات تُحتفَظ بها لفترات قصيرة، والأدلة تُكتَب فوقها أو تصبح غير قابلة للوصول، وسياسات الاحتفاظ غير محددة. كثيراً ما تُجمع الأدلة بعد إشعار التدقيق وليس باستمرار.

المادة 28 من DORA مبنية على الأدلة. إذا تعذّر تقديم الأدلة عند الطلب، تُعدّ الضوابط غير فعّالة.

علامات حمراء إضافية يُحددها المدققون عادةً

  • الاستخدام غير المقيّد لإضافات سوق CI/CD
  • غياب بوابات الموافقة لتغييرات المسار
  • الأسرار المكشوفة لسياقات تنفيذ الأطراف الثالثة
  • غياب رقابة توافر منصة CI/CD
  • تباين تطبيق الضوابط عبر المسارات

كيف يستخدم المدققون العلامات الحمراء

نادراً ما تُقيَّم العلامات الحمراء بمعزل عن بعضها. يبحث المدققون عن الأنماط: علامات حمراء متعددة حول المورد نفسه، وفجوات بين العقود والتطبيق التقني، وروابط مفقودة بين الضوابط والأدلة.

عند ظهور الأنماط، قد يُصعّد المدققون حرجية المورد، ويوسّعون نطاق التدقيق، ويطلبون المعالجة ضمن جداول زمنية صارمة.

كيفية معالجة هذه العلامات الحمراء استباقياً

المؤسسات التي تؤدي أداءً جيداً بموجب المادة 28 عادةً ما تُدرج منصات CI/CD صراحةً كأطراف ICT ثالثة، وتُنفّذ الضوابط عبر تكوين المسار، وتُوائم العقود مع الواقع التقني، وتُولّد أدلة مستمرة وغير قابلة للتغيير.

خلاصة

تُعدّ مسارات CI/CD من بين أكثر المصادر شيوعاً لنتائج التدقيق بموجب المادة 28. معالجة العلامات الحمراء مبكراً يحوّل مسارات CI/CD من التزامات تدقيق إلى أصول امتثال قوية.

سياق “جاهز للتدقيق”

محتوى موجّه للبيئات الخاضعة للتنظيم: الضوابط قبل الأدوات، فرض السياسات داخل CI/CD، وتوليد الأدلة بالتصميم لأغراض التدقيق.

التركيز على التتبّع، الموافقات، حوكمة الاستثناءات، والاحتفاظ بالأدلة عبر مراحل البناء والإصدار والتشغيل.

اطّلع على المنهجية في صفحة About.