CI/CD Pipelines في البيئات المنظّمة
استخدم ورقة الغش هذه خلال يوم التدقيق للإجابة على الأسئلة الشائعة المتعلقة بـ CI/CD بوضوح واتساق وبالأدلة المناسبة.
إجابات مختصرة. لا تكهنات. دائماً أتبع بالدليل.
1. النطاق والحوكمة
س: هل تقع CI/CD Pipelines ضمن نطاق الامتثال؟
الإجابة
نعم. تُعامَل CI/CD Pipelines باعتبارها أنظمة ICT خاضعة للتنظيم لأنها تؤثر مباشرة على أنظمة الإنتاج.
الأدلة المطلوبة
- جرد أنظمة ICT
- تقييم المخاطر الشامل لـ CI/CD
س: من يتولى مسؤولية أمن وحوكمة CI/CD؟
الإجابة
تقع حوكمة CI/CD تحت المسؤولية المشتركة لفريق هندسة المنصة وفريق الأمن، مع تحديد واضح للمساءلة.
الأدلة
- وثيقة RACI أو وثيقة الملكية
- مرجع سياسة الحوكمة
2. التحكم في الوصول
س: من يمكنه تعديل CI/CD Pipelines؟
الإجابة
لا يمكن تعديل تهيئات الـ Pipeline إلا للمسؤولين المعتمدين الحاملين صلاحيات RBAC مع تفعيل MFA.
الأدلة
- تهيئة RBAC للـ CI/CD
- سياسات IAM
- لقطة شاشة أو سجلات تفعيل MFA
س: هل تستخدم الـ Pipelines بيانات اعتماد مشتركة؟
الإجابة
لا. كل Pipeline يستخدم حسابات خدمة مخصصة بصلاحيات الحد الأدنى.
الأدلة
- قائمة حسابات الخدمة
- نطاقات الأذونات
3. فصل المهام
س: هل يمكن للمطورين النشر مباشرة إلى بيئة الإنتاج؟
الإجابة
لا. تتطلب عمليات النشر إلى الإنتاج موافقة مستقلة يفرضها الـ Pipeline.
الأدلة
- قواعد الموافقة
- تعريف سير عمل النشر
س: هل يمكن لشخص ما الموافقة على تغييراته الخاصة؟
الإجابة
لا. الموافقة الذاتية ممنوعة تقنياً.
الأدلة
- قواعد طلبات السحب (Pull Request)
- مثال على سجل الموافقات
4. إدارة التغيير
س: كيف تضمنون أن جميع تغييرات الإنتاج تمر عبر CI/CD؟
الإجابة
الوصول المباشر إلى الإنتاج مقيّد. جميع عمليات النشر تُنفَّذ عبر CI/CD Pipelines.
الأدلة
- سجلات النشر
- قيود الوصول إلى البنية التحتية
س: هل يمكنكم تتبع إصدار الإنتاج وصولاً إلى الكود المصدري؟
الإجابة
نعم. نحافظ على قابلية التتبع الكاملة من الـ Commit إلى النشر.
الأدلة
- معرّف الـ Commit
- معرّف تشغيل الـ Pipeline
- بيانات تعريف الأداة (Artifact)
5. ضوابط الأمن
س: هل الفحوصات الأمنية إلزامية؟
الإجابة
نعم. الفحوصات الأمنية مفروضة وتوقف النشر عند الفشل.
الأدلة
- تعريف الـ Pipeline
- مثال على بناء فاشل
س: كيف يتم التعامل مع الاستثناءات الأمنية؟
الإجابة
تتطلب الاستثناءات موافقة رسمية ويتم توثيقها في السجلات.
الأدلة
- سجلات الاستثناءات
- سجلات الموافقات
6. التسجيل والمراقبة
س: هل تُسجَّل أنشطة CI/CD؟
الإجابة
نعم. جميع تنفيذات الـ Pipeline والتغييرات مسجلة مركزياً.
الأدلة
- لوحة تحكم السجلات المركزية
- عينة من سجلات الـ Pipeline
س: كم تُحتفظ بسجلات CI/CD؟
الإجابة
تُحتفظ السجلات وفقاً للمتطلبات التنظيمية.
الأدلة
- سياسة الاحتفاظ
- تهيئة SIEM
7. الحوادث والمرونة
س: ماذا يحدث إذا تعرضت بيانات اعتماد CI/CD للاختراق؟
الإجابة
يمكن إلغاء بيانات الاعتماد فوراً وتعطيل الـ Pipelines.
الأدلة
- عملية إلغاء IAM
- مقتطف من كتيب الحوادث
س: هل تختبرون إجراءات التراجع (Rollback)؟
الإجابة
نعم. يتم اختبار إجراءات التراجع والاسترداد بشكل منتظم.
الأدلة
- سجلات الاختبارات
- سجل عمليات النشر
8. جودة الأدلة
س: كيف تقدمون أدلة التدقيق؟
الإجابة
الأدلة مُولَّدة آلياً من الأنظمة، مختومة بطابع زمني، وقابلة للإعادة.
الأدلة
- السجلات
- بيانات تعريف الـ Pipeline
- عينات من مسار التدقيق
س: هل يمكنكم إعادة إنتاج الأدلة عند الطلب؟
الإجابة
نعم. يمكن استرداد الأدلة مباشرة من أنظمة CI/CD والتسجيل.
الأدلة
- استعلام مباشر أو تقرير جاهز
9. التعامل مع الأسئلة الصعبة
س: “لماذا لا تطبقون X؟”
الإجابة الآمنة
يتم التعامل مع هذا الضابط من خلال آليات بديلة متوافقة مع تقييم المخاطر لدينا.
👉 ثم اعرض ما تفعلونه، لا ما لا تفعلونه.
س: “أليس هذا غير ممتثل؟”
الإجابة الآمنة
بناءً على تفسيرنا والضوابط المعمول بها، يتم استيفاء هذا المتطلب. نحن منفتحون على مزيد من التوضيح.
⚠️ لا تجادل في تفسير اللوائح بعاطفة أبداً.
10. القواعد الذهبية النهائية (اطبع هذا)
- لا تتكهن
- لا تُفرط في الشرح
- اعرض الدليل ثم توقف
- صوت واحد في المرة الواحدة
- CI/CD نظام خاضع للتنظيم
موارد ذات صلة
- كتيب يوم التدقيق
- قبل وصول المدقق
- إشارات التحذير في تدقيق CI/CD
- كيف يراجع المدققون CI/CD فعلياً
- قائمة مراجعة المدقق لـ DORA المادة 21
ملاحظات الاستخدام (مهم)
- احتفظ بهذه الصفحة مفتوحة خلال مكالمات التدقيق
- شارك فقط مع الفريق المواجه للمدققين
- لا ترتجل خارج هذا النطاق
- حدّثها بعد كل تدقيق
