تساعد هذه القائمة المؤسساتِ على التحقق من جاهزية مسارات CI/CD للتدقيق قبل وصول المدققين. تركز على الحوكمة وتطبيق الضوابط وتوافر الأدلة بدلًا من تفاصيل تكوين الأدوات.
استخدم هذه القائمة مراجعة نهائية للجاهزية لتقليل ضغط التدقيق وتجنب الملاحظات اللحظية.
1. جاهزية النطاق والحوكمة
البند
نعم
لا
مسارات CI/CD مدرجة صراحةً في نطاق الامتثال
⬜
⬜
المسارات مُصنَّفة كأنظمة ICT / خاضعة للتنظيم
⬜
⬜
ملكية CI/CD ومساءلته مُحدَّدة
⬜
⬜
CI/CD مُدرج في تقييمات مخاطر ICT
⬜
⬜
وثائق الحوكمة تشير إلى CI/CD صراحةً
⬜
⬜
2. التحكم في الوصول والصلاحيات
البند
نعم
لا
وصول CI/CD يتبع مبدأ أدنى الصلاحيات
⬜
⬜
المستخدمون البشريون وهويات المسار منفصلون
⬜
⬜
RBAC مُطبَّق لإدارة المسار
⬜
⬜
MFA مُفعَّل لمسؤولي CI/CD
⬜
⬜
مراجعات الوصول ذو الامتياز موثقة
⬜
⬜
3. الفصل بين المهام
البند
نعم
لا
المطورون لا يستطيعون الموافقة على تغييراتهم الإنتاجية
⬜
⬜
مراجعة الكود إلزامية قبل تنفيذ المسار
⬜
⬜
أذونات البناء والنشر منفصلة
⬜
⬜
التجاوزات الطارئة مُسجَّلة وموافق عليها
⬜
⬜
قواعد الفصل تُراجَع دوريًا
⬜
⬜
4. إدارة التغيير وقابلية التتبع
البند
نعم
لا
جميع التغييرات الإنتاجية تمر عبر مسارات CI/CD
⬜
⬜
الكود المصدري وتشغيل المسار والنشر مترابطة
⬜
⬜
الموافقات قابلة للتتبع ومختومة بالوقت
⬜
⬜
عمليات النشر خارج النطاق ممنوعة أو مُسجَّلة
⬜
⬜
التغييرات الإنتاجية العشوائية قابلة للتتبع من البداية للنهاية
⬜
⬜
5. تطبيق الضوابط الأمنية
البند
نعم
لا
SAST و SCA والفحوصات الأخرى إلزامية
⬜
⬜
الفحوصات الأمنية الفاشلة تحجب النشر
⬜
⬜
سياسات الأمن مُطبَّقة عبر بوابات المسار
⬜
⬜
الاستثناءات الأمنية موثقة وموافق عليها
⬜
⬜
الضوابط الأمنية متسقة عبر المسارات
⬜
⬜
6. التسجيل والمراقبة والاحتفاظ
البند
نعم
لا
جميع تنفيذات المسار مُسجَّلة
⬜
⬜
السجلات تتضمن الموافقات ونتائج الأمن
⬜
⬜
السجلات مجمَّعة مركزيًا
⬜
⬜
الاحتفاظ بالسجلات يستوفي المتطلبات التنظيمية
⬜
⬜
يمكن استرجاع السجلات بسرعة عند الطلب
⬜
⬜
7. الصمود والاستعداد للحوادث
البند
نعم
لا
صمود CI/CD موثق
⬜
⬜
إجراءات التراجع موجودة ومُختبَرة
⬜
⬜
حوادث CI/CD مُدرجة في كتيبات الاستجابة للحوادث
⬜
⬜
يمكن إلغاء بيانات اعتماد المسار بسرعة
⬜
⬜
حوادث CI/CD السابقة موثقة
⬜
⬜
8. جاهزية الأدلة
البند
نعم
لا
الأدلة مُنتجة آليًا لا يدويًا
⬜
⬜
الأدلة مختومة بالوقت وغير قابلة للتغيير
⬜
⬜
يمكن إعادة إنتاج الأدلة عند الطلب
⬜
⬜
الأدلة مُجمَّعة حسب الضابط أو التنظيم
⬜
⬜
الفرق تعرف أين تُخزَّن الأدلة
⬜
⬜
9. توافق الفريق والاستعداد للتدقيق
البند
نعم
لا
فرق الهندسة والأمن والامتثال متوافقة
⬜
⬜
الفرق تقدم إجابات متسقة
⬜
⬜
تدقيق تجريبي جرى تنفيذه
⬜
⬜
الثغرات المعروفة لها خطط معالجة
⬜
⬜
جهات التواصل للتدقيق مُحدَّدة
⬜
⬜
السؤال النهائي قبل التدقيق
إذا طلب مدقق عملية نشر إنتاجية عشوائية من ستة أشهر مضت، هل تستطيع شرحها وإثباتها كاملًا في غضون دقائق؟
إذا كانت الإجابة نعم، فمسارات CI/CD لديك على الأرجح جاهزة للتدقيق.
مهندس معماري أول في DevSecOps وأمن المعلومات، يمتلك أكثر من 15 عامًا من الخبرة في هندسة البرمجيات الآمنة وأمن خطوط CI/CD والبيئات المؤسسية الخاضعة للتنظيم.
حاصل على شهادتي CSSLP و EC-Council Certified DevSecOps Engineer، مع خبرة عملية في تصميم معماريات CI/CD آمنة وقابلة للتدقيق ومتوافقة في البيئات المنظمة.
