مقدمة: لماذا A.14 هو الضابط الأساسي لـ CI/CD
الملحق A.14 — اقتناء الأنظمة وتطويرها وصيانتها — هو مجال الضوابط الأكثر صلة للمؤسسات التي تُشغّل خطوط أنابيب CI/CD. إنه يحكم مباشرة كيفية تطوير الأنظمة وتغييرها واختبارها وقبولها في الإنتاج. بالنسبة للمدققين ومسؤولي الامتثال، A.14 هو المكان الذي ستجد فيه أعلى كثافة من متطلبات الضوابط الخاصة بـ CI/CD، وكثيراً ما تجد فيه أعلى كثافة من حالات عدم المطابقة.
يفحص هذا التحليل المعمّق كل ضابط فرعي في A.14 في سياق خطوط أنابيب CI/CD، مع توجيهات واضحة حول ما يبدو عليه الامتثال، وما هي الأدلة المطلوبة، وما الذي يُشكّل علامة تحذير خلال التدقيق.
A.14.1 — متطلبات أمن نظم المعلومات
A.14.1.1 — تحليل متطلبات أمن المعلومات وتحديدها
ما يعنيه لـ CI/CD: قبل تطوير أي نظام أو اقتنائه، يجب تحديد المتطلبات الأمنية. في سياق CI/CD، يعني ذلك تحديد المتطلبات الأمنية قبل بدء التطوير وإمكانية تتبعها عبر خط الأنابيب — من تعريف المتطلبات إلى التحقق من النشر.
الأدلة التي تُثبت الامتثال:
- المتطلبات الأمنية الموثقة في قصص المستخدمين أو معايير القبول أو مواصفات المتطلبات الأمنية المخصصة
- إمكانية تتبع من المتطلبات الأمنية إلى حالات الاختبار المُطبَّقة عبر خط الأنابيب
- سجلات تُظهر مراجعة المتطلبات الأمنية والموافقة عليها قبل بدء التطوير
ما يبدو عليه عدم الامتثال: المتطلبات الأمنية غائبة أو غير رسمية أو مُضافة بأثر رجعي بعد التطوير. لا ارتباط بين المتطلبات المُصرَّح بها والتحقق الآلي في خط الأنابيب.
A.14.1.2 — تأمين خدمات التطبيقات على الشبكات العامة
ما يعنيه لـ CI/CD: يجب أن تمتلك التطبيقات المنشورة عبر خطوط أنابيب CI/CD إلى بيئات تواجه الجمهور ضوابط لسلامة البيانات والسرية وعدم الإنكار. يجب أن يتحقق خط الأنابيب نفسه من تهيئة TLS وضوابط أمان API وآليات المصادقة بشكل صحيح قبل النشر.
الأدلة التي تُثبت الامتثال:
- مراحل خط الأنابيب التي تتحقق من تهيئة TLS وصلاحية الشهادة
- فحوصات آلية لرؤوس الأمان وأمان النقل
- سجلات التحقق من تهيئة الأمان قبل النشر العام
ما يبدو عليه عدم الامتثال: تطبيقات مُنشرة على شبكات عامة دون تحقق آلي من تهيئة الأمان. لا فحوصات قبل النشر لأمان النقل.
A.14.1.3 — حماية معاملات خدمات التطبيقات
ما يعنيه لـ CI/CD: حيثما تتعامل التطبيقات مع المعاملات، يجب أن يتضمن خط الأنابيب التحقق من وجود ضوابط سلامة المعاملات (اكتمال الإرسال والتحقق من التوجيه وسلامة الرسالة والسرية) واختبارها.
الأدلة التي تُثبت الامتثال:
- مجموعات اختبار تكامل تغطي سيناريوهات سلامة المعاملات مُنفَّذة في خط الأنابيب
- سجلات نتائج اختبار أمان المعاملات المحفوظة مع سجل تنفيذ خط الأنابيب
ما يبدو عليه عدم الامتثال: تطبيقات معالجة المعاملات مُنشرة دون اختبار تكامل لضوابط أمان المعاملات.
A.14.2 — الأمن في عمليات التطوير والدعم
A.14.2.1 — سياسة التطوير الآمن
ما يعنيه لـ CI/CD: يجب أن تمتلك المؤسسة سياسة موثقة تحكم ممارسات التطوير الآمن. في بيئات CI/CD، يجب أن تعالج هذه السياسة عمليات البناء والنشر الآلية وضوابط أمان خط الأنابيب ودمج اختبار الأمن في خط أنابيب التسليم.
الأدلة التي تُثبت الامتثال:
- سياسة تطوير آمن معتمدة تغطي صراحةً عمليات CI/CD
- سجلات مراجعة السياسة التي تُظهر تحديثات منتظمة
- دليل على إبلاغ جميع مستخدمي ومديري خط الأنابيب بالسياسة
- سجلات تدريب الموظفين المشاركين في إدارة خط الأنابيب
ما يبدو عليه عدم الامتثال: توجد سياسة تطوير آمن لكنها لا تشير إلى خطوط أنابيب CI/CD أو العمليات الآلية. لم تُراجَع السياسة منذ اعتماد CI/CD.
A.14.2.2 — إجراءات التحكم في تغيير النظام
ما يعنيه لـ CI/CD: هذا ضابط محوري لـ CI/CD. يجب أن تتبع جميع التغييرات على الأنظمة إجراءات التحكم في التغيير الرسمية. في CI/CD، خط الأنابيب هو آلية التحكم في التغيير — لكنه يجب أن يُطبّق الإجراءات الموثقة بما في ذلك متطلبات الموافقة وتقييم الأثر والتحقق من الاختبار وقدرة التراجع.
الأدلة التي تُثبت الامتثال:
- إجراءات التحكم في التغيير التي تشير إلى خط أنابيب CI/CD كآلية تطبيق
- تهيئات خط الأنابيب التي تُظهر بوابات موافقة إلزامية قبل النشر في الإنتاج
- مسارات تدقيق لجميع التغييرات بما في ذلك من أثارها ومن وافق عليها وما الذي اختُبر ونتيجة النشر
- دليل على تعريف إجراءات التغيير الطارئ واتباعها (مع الموافقة بأثر رجعي)
ما يبدو عليه عدم الامتثال: يستطيع المطورون دفع التغييرات مباشرة إلى الإنتاج متجاوزين خط الأنابيب. لا بوابات موافقة في خط الأنابيب. التغييرات الطارئة لا تخضع لمراجعة بأثر رجعي.
A.14.2.3 — المراجعة التقنية للتطبيقات بعد تغييرات المنصة التشغيلية
ما يعنيه لـ CI/CD: عند تغيير المنصة الأساسية (تحديثات نظام التشغيل وترقيات البرمجيات الوسيطة والتغييرات في البنية التحتية)، يجب مراجعة التطبيقات واختبارها. يجب أن تُثير خطوط أنابيب CI/CD اختبار الانحدار عند تغيير تبعيات المنصة.
الأدلة التي تُثبت الامتثال:
- إجراء موثق لتقييم أثر تغيير المنصة
- سجلات تنفيذ اختبار الانحدار المُثار بتغييرات المنصة
- دليل على أن الصور الأساسية وتبعيات المنصة في خط الأنابيب خاضعة للتحكم في الإصدارات مع تتبع التغييرات
ما يبدو عليه عدم الامتثال: تغييرات المنصة تُجرى دون إثارة اختبار انحدار التطبيق. لا تتبع لإصدارات تبعيات المنصة في خط الأنابيب.
A.14.2.4 — القيود على التغييرات في حزم البرمجيات
ما يعنيه لـ CI/CD: يجب التحكم في تعديلات حزم البرمجيات المُورَّدة أو الخارجية والحد منها. في CI/CD، يغطي ذلك تعديلات المكونات مفتوحة المصدر والتبعيات المتشعبة والتكاملات الخارجية المُخصَّصة.
الأدلة التي تُثبت الامتثال:
- سياسة تحدد متى يُسمح بتعديل حزم الأطراف الخارجية
- سجلات الموافقة على أي تعديلات لحزم الأطراف الخارجية
- ضوابط خط الأنابيب التي تكتشف وتعلم عن الحزم المعدّلة (التحقق من السلامة والتحقق من المجاميع الاختبارية)
- تقييمات أثر إخطار البائع والدعم للحزم المعدّلة
ما يبدو عليه عدم الامتثال: حزم الأطراف الخارجية تُتشعّب أو تُعدَّل بشكل روتيني دون موافقة رسمية. لا فحص سلامة في خط الأنابيب لتعديلات الحزم.
A.14.2.5 — مبادئ هندسة النظام الآمن
ما يعنيه لـ CI/CD: يجب على المؤسسة تأسيس مبادئ الهندسة الآمنة وتوثيقها وتطبيقها على جميع تطوير الأنظمة. يجب أن يُطبّق خط أنابيب CI/CD هذه المبادئ من خلال فحوصات آلية — مراجعات المعمارية والتحقق من نمط الأمان وفحص الامتثال.
الأدلة التي تُثبت الامتثال:
- مبادئ هندسة آمنة موثقة مطبقة على الأنظمة المُسلَّمة عبر CI/CD
- فحوصات مُطبَّقة عبر خط الأنابيب تتحقق من الالتزام بمبادئ الهندسة
- سجلات مراجعة المعمارية للأنظمة الجديدة الداخلة إلى خط الأنابيب
- دليل على مراجعة مبادئ الهندسة الآمنة وتحديثها بشكل دوري
ما يبدو عليه عدم الامتثال: مبادئ الهندسة الآمنة موجودة على الورق لكنها غير مُطبَّقة عبر خط الأنابيب. لا تحقق آلي من أنماط معمارية الأمان.
A.14.2.6 — بيئة التطوير الآمنة
ما يعنيه لـ CI/CD: بيئات التطوير — بما في ذلك بيئات بناء CI/CD — يجب تأمينها وحمايتها. عوامل البناء ومستودعات القطع الأثرية ومنصات تنسيق خط الأنابيب هي بيئات تطوير تتطلب ضوابط أمنية مناسبة.
الأدلة التي تُثبت الامتثال:
- ضوابط أمنية مطبقة على بيئات بناء CI/CD (تجزئة الشبكة والتحكم في الوصول والتصليب)
- دليل على عزل بيئة البناء (عوامل بناء مؤقتة وعزل الحاويات)
- سجلات التحكم في الوصول لبنية التطوير والبناء التحتية
- معايير التصليب المطبقة على بنية منصة CI/CD التحتية
ما يبدو عليه عدم الامتثال: بيئات البناء تشارك البنية التحتية مع الإنتاج دون عزل. عوامل البناء طويلة الأمد مع تراكم الحالة ودون إعادة بناء دورية. لا معايير تصليب لبنية CI/CD التحتية.
A.14.2.7 — التطوير المُستعان به خارجياً
ما يعنيه لـ CI/CD: عند الاستعانة بمصادر خارجية للتطوير، يجب على المؤسسة الإشراف على النشاط ومراقبته. في CI/CD، يعني ذلك أن المطورين الخارجيين يجب أن يستخدموا خط أنابيب المؤسسة (وليس خطهم الخاص)، وأن مساهماتهم تخضع لنفس الضوابط الآلية وعمليات الموافقة.
الأدلة التي تُثبت الامتثال:
- اشتراطات تعاقدية على المطورين الخارجيين لاستخدام خط أنابيب CI/CD للمؤسسة
- سجلات التحكم في الوصول التي تُظهر أن المطورين الخارجيين يمتلكون صلاحية وصول ملائمة (محدودة) لخط الأنابيب
- دليل على متطلبات مراجعة الكود للمساهمات الخارجية
- سجلات مراقبة نشاط خط الأنابيب للمطور الخارجي
ما يبدو عليه عدم الامتثال: المطورون الخارجيون يستخدمون عمليات البناء والنشر الخاصة بهم. المساهمات الخارجية تتجاوز ضوابط خط الأنابيب القياسية أو متطلبات مراجعة الكود.
A.14.2.8 — اختبار أمان النظام
ما يعنيه لـ CI/CD: يجب إجراء اختبار الأمان خلال التطوير. يجب أن تدمج خطوط أنابيب CI/CD اختبار الأمان الآلي — التحليل الثابت وفحص ثغرات التبعيات والاختبار الديناميكي — كمراحل خط أنابيب إلزامية لا يمكن تجاوزها.
الأدلة التي تُثبت الامتثال:
- تهيئات خط الأنابيب التي تُظهر مراحل اختبار أمان إلزامية
- نتائج اختبار الأمان المحفوظة مع كل تنفيذ لخط الأنابيب
- دليل على أن إخفاقات اختبار الأمان تحجب التقدم نحو الإنتاج
- سجلات تحديثات أداة اختبار الأمان وصيانة القواعد
ما يبدو عليه عدم الامتثال: اختبار الأمان موجود لكنه اختياري أو استشاري فقط. نتائج الاختبار غير محفوظة. يمكن تجاوز إخفاقات اختبار الأمان دون تبرير موثق.
A.14.2.9 — اختبار قبول النظام
ما يعنيه لـ CI/CD: يجب تأسيس برامج ومعايير اختبار القبول. يجب أن يُطبّق خط أنابيب CI/CD معايير القبول قبل النشر في الإنتاج — بما في ذلك بوابات القبول الوظيفية والأداء والأمان.
الأدلة التي تُثبت الامتثال:
- معايير قبول محددة لكل مرحلة نشر
- تهيئات خط الأنابيب التي تُطبّق بوابات القبول
- سجلات نتائج اختبار القبول لكل عملية نشر إنتاجي
- دليل على مراجعة معايير القبول وموافقة أصحاب المصلحة المناسبين عليها
ما يبدو عليه عدم الامتثال: لا معايير قبول محددة. يسمح خط الأنابيب بالنشر دون التحقق من القبول. اختبار القبول يدوي وغير متسق التطبيق.
جدول تعيين الضوابط الفرعية لـ A.14
| الضابط الفرعي لـ A.14 | تطبيق CI/CD | الأدلة المطلوبة | علامات التحذير |
|---|---|---|---|
| A.14.1.1 متطلبات الأمان | متطلبات الأمان مُتتبَّعة إلى حالات اختبار خط الأنابيب | مواصفات المتطلبات؛ سجلات إمكانية التتبع؛ تعيينات حالات الاختبار | لا متطلبات أمان محددة قبل بدء التطوير |
| A.14.1.2 خدمات الشبكة العامة | فحوصات تهيئة الأمان قبل النشر | نتائج التحقق الآلي من TLS ورؤوس الأمان | عمليات نشر عامة دون التحقق من تهيئة الأمان |
| A.14.1.3 حماية المعاملات | اختبار سلامة المعاملات في خط الأنابيب | نتائج اختبار التكامل التي تغطي سيناريوهات المعاملات | أنظمة معاملات مُنشرة دون اختبار سلامة |
| A.14.2.1 سياسة التطوير الآمن | السياسة التي تحكم ممارسات أمان CI/CD | السياسة المعتمدة؛ سجلات المراجعة؛ دليل الإبلاغ | السياسة لا تذكر CI/CD؛ لا مراجعة منذ اعتماد خط الأنابيب |
| A.14.2.2 التحكم في التغيير | خط الأنابيب كآلية تطبيق التحكم في التغيير | تهيئات بوابة الموافقة؛ مسارات تدقيق التغيير؛ سجلات التغيير الطارئ | إمكانية الدفع المباشر إلى الإنتاج؛ لا بوابات موافقة |
| A.14.2.3 مراجعة تغيير المنصة | اختبار الانحدار المُثار بتغييرات تبعيات المنصة | سجلات تغيير المنصة؛ نتائج اختبار الانحدار | تحديثات المنصة دون اختبار انحدار التطبيق |
| A.14.2.4 قيود تغيير الحزم | التحقق من سلامة حزم الأطراف الخارجية | موافقات تعديل الحزم؛ نتائج فحص السلامة | حزم متشعبة دون موافقة؛ لا فحوصات سلامة |
| A.14.2.5 مبادئ الهندسة الآمنة | فحوصات المعمارية ونمط الأمان المُطبَّقة عبر خط الأنابيب | المبادئ الموثقة؛ نتائج التحقق الآلي | المبادئ موجودة على الورق فقط؛ لا تطبيق عبر خط الأنابيب |
| A.14.2.6 بيئة التطوير الآمنة | بيئات بناء مُصلَّبة ومعزولة | سجلات التصليب؛ دليل العزل؛ سجلات الوصول | بنية تحتية مشتركة؛ عوامل بناء دائمة؛ لا تصليب |
| A.14.2.7 التطوير المُستعان به خارجياً | المطورون الخارجيون يستخدمون خط أنابيب المؤسسة | العقود؛ سجلات الوصول؛ سجلات المراقبة؛ سجلات مراجعة الكود | المطورون الخارجيون يتجاوزون خط الأنابيب؛ لا مراقبة |
| A.14.2.8 اختبار الأمان | مراحل اختبار أمان آلية إلزامية | تهيئات خط الأنابيب؛ نتائج الاختبار؛ سجلات صيانة الأدوات | اختبارات أمان اختيارية؛ نتائج غير محفوظة؛ تجاوزات سهلة |
| A.14.2.9 اختبار القبول | بوابات قبول مُطبَّقة عبر خط الأنابيب | معايير القبول؛ تهيئات البوابة؛ نتائج الاختبار لكل عملية نشر | لا معايير قبول؛ اختبار يدوي فقط؛ تطبيق غير متسق |
كيف يرتبط A.14 بضوابط الملحق A الأخرى
لا يعمل A.14 بمعزل عن غيره. تتطلب حوكمة CI/CD الفعّالة فهم كيفية تقاطع A.14 مع مجالات الضوابط الأخرى:
- A.9 (التحكم في الوصول) — يعتمد التحكم في التغيير A.14.2.2 على ضوابط الوصول A.9 للتأكد من أن الأفراد المصرح لهم فقط يستطيعون الموافقة على عمليات النشر وإثارتها. إخفاقات التحكم في الوصول تُضعف إطار التحكم في التغيير بأكمله.
- A.12 (أمن العمليات) — تتوافق متطلبات بيئة التطوير الآمن A.14.2.6 مع الإجراءات التشغيلية A.12. متطلبات التسجيل بموجب A.12 توفر مسار التدقيق اللازم للتحقق من امتثال التحكم في التغيير A.14.
- A.15 (علاقات الموردين) — قيود الحزم A.14.2.4 والتطوير المُستعان به خارجياً A.14.2.7 تتصلان مباشرة بإدارة الموردين A.15. المكونات الخارجية في خط الأنابيب هي مصدر قلق تطويري (A.14) ومصدر قلق لمخاطر الموردين (A.15) في آن واحد.
قائمة مراجعة المدقق لـ A.14
عند تدقيق امتثال A.14 في بيئات CI/CD، تحقق مما يلي:
- ☐ سياسة التطوير الآمن تتناول صراحةً خطوط أنابيب CI/CD والعمليات الآلية
- ☐ المتطلبات الأمنية محددة قبل التطوير وقابلة للتتبع إلى التحقق عبر خط الأنابيب
- ☐ إجراءات التحكم في التغيير تشير إلى خط أنابيب CI/CD كآلية التطبيق
- ☐ يتضمن خط الأنابيب بوابات موافقة إلزامية قبل النشر في الإنتاج
- ☐ جميع تنفيذات خط الأنابيب تُنتج مسارات تدقيق غير قابلة للتغيير (من، وماذا، ومتى، والنتيجة)
- ☐ مراحل اختبار الأمان إلزامية ولا يمكن تجاوزها دون تبرير موثق
- ☐ إخفاقات اختبار الأمان تحجب تقدم النشر
- ☐ معايير القبول محددة ومعتمدة ومُطبَّقة بواسطة خط الأنابيب
- ☐ بيئات البناء معزولة ومُصلَّبة وخاضعة للتحكم في الوصول
- ☐ التطوير المُستعان به خارجياً يخضع لنفس ضوابط خط الأنابيب المطبقة على التطوير الداخلي
- ☐ تعديلات حزم الأطراف الخارجية معتمدة رسمياً ومتحقق من سلامتها
- ☐ تغييرات المنصة تُثير اختبار الانحدار
- ☐ إجراءات التغيير الطارئ موجودة مع متطلبات المراجعة بأثر رجعي
- ☐ الأدلة محفوظة وفق سياسة الاحتفاظ بالمؤسسة
قراءات إضافية
مراجع ذات صلة للمدققين
- المسرد — تعريفات بلغة بسيطة للمصطلحات التقنية
- الامتثال المستمر عبر CI/CD
- قائمة مراجعة الاستعداد للتدقيق
- ضوابط أمان CI/CD الأساسية
هل أنت جديد في تدقيق CI/CD؟ ابدأ بـ دليل المدقق.
