مقدمة
تُلزم المادة 28 من DORA الكيانات المالية بإدارة المخاطر الناشئة عن مزوّدي خدمات ICT من الطرف الثالث.
في تسليم البرمجيات الحديث، لا يقتصر دور هؤلاء المزوّدين على الأطراف — بل هم مُضمَّنون مباشرةً في خطوط أنابيب CI/CD وبيئات وقت التشغيل السحابية.
تُقدّم هذه المقالة منظورًا معماريًا عمليًا للمادة 28 من DORA، موضّحةً:
- أين يتدخّل مزوّدو الطرف الثالث عبر دورة حياة CI/CD،
- أي الضوابط يجب تطبيقها للحفاظ على الامتثال،
- وكيف ينبغي إنتاج الأدلة لتلبية متطلبات المدققين.
الهدف ليس وصف الأدوات، بل توضيح حدود الضوابط ونقاط التطبيق وتوقعات التدقيق.
كما تُعالج الهوّة في المنظور بين المدققين والمهندسين — وهما جمهوران يقرآن البنية المعمارية ذاتها بصور مختلفة جدًا، ويُعدّ توافقهما أساسيًا لتحقيق الامتثال بنجاح.
سلسلة توريد CI/CD الحقيقية في ظل DORA
يعتمد خط أنابيب CI/CD المؤسسي النموذجي على مزوّدي ICT خارجيين متعددين، في الغالب دون التعامل معهم صراحةً بهذه الصفة.
بموجب المادة 28 من DORA، يجب اعتبار المكوّنات التالية خدمات ICT للطرف الثالث:
- استضافة الشفرة المصدرية (Git SaaS / Git المُدار)
- تنسيق CI/CD (SaaS أو منصة CI مُدارة)
- المنفّذون / تنفيذ الإنشاء (منفّذون ذاتيو الاستضافة أو مُدارون)
- سجلات القطع الأثرية والحاويات
- منظومة التبعيات (الحزم والمرايا ومولّدات SBOM)
- وقت التشغيل السحابي / المنصات المُدارة
- قابلية الرصد (السجلات والتتبع وSIEM)
- أدوات ITSM / إدارة التذاكر / الموافقات (إدارة التغيير)
تسري المادة 28 لأن كلًّا من هؤلاء الموردين يمكنه التأثير في:
- سرية الشفرة المصدرية والقطع الأثرية وسلامتها،
- توافر خطوط أنابيب التسليم،
- قابلية تتبع التغييرات والتدقيق فيها.
أي مكوّن من الطرف الثالث متورط في بناء البرمجيات أو اختبارها أو نشرها أو تشغيلها يقع ضمن نطاق المادة 28.
منظوران على البنية المعمارية ذاتها
تُلزم المادة 28 من DORA الكيانات المالية بإدارة مخاطر ICT للطرف الثالث بأسلوب قابل للتحقق والتطبيق والتدقيق. غير أن المدققين والمهندسين لا يقرآن البنى المعمارية بالأسلوب ذاته.
منظور المدقق (عدسة الحوكمة والأدلة)
المدقق الذي يراجع الامتثال للمادة 28 من DORA لا يُقيّم الأدوات أو خطوط الأنابيب مباشرةً، بل يتحقق من أن المخاطر مُتحكَّم فيها وموثّقة ومُدارة باستمرار.
من منظور المدقق، يجب أن تُجيب البنية المعمارية على:
- هل لديكم قائمة جرد كاملة بمزوّدي ICT من الطرف الثالث؟
- هل يُصنَّف المزوّدون وفق الأهمية الحرجة؟
- هل العقود قابلة للتطبيق وتتضمّن حقوق التدقيق وإشعارات الحوادث وبنود الخروج؟
- هل تُنتَج الأدلة باستمرار ويُحتفَظ بها؟
- هل يمكنكم الخروج من المزوّدين الحرجين تحت الضغط؟
منظور المهندس (عدسة التنفيذ والتطبيق)
يرى المهندس عند النظر في البنية المعمارية ذاتها طائرة التحكم — مجموعة من آليات التطبيق التي يجب بناؤها وضبطها وصيانتها.
ينصبّ اهتمامهم على:
- أين تُدمَج خدمات الطرف الثالث في خطوط الأنابيب؟
- كيف تُطبَّق ضوابط الوصول والموافقات والعزل تقنيًا؟
- كيف تُولَّد SBOMs والتوقيعات وسلاسل الإسناد؟
- كيف تُجمَّع السجلات والمقاييس والتنبيهات من منصات الطرف الثالث؟
- ماذا يحدث إذا أخفق مزوّد أو وجب استبداله؟
البنية المعمارية ذاتها، قراءتان مختلفتان
| الجانب | منظور المدقق | منظور المهندس |
|---|---|---|
| التركيز | المخاطر والحوكمة والامتثال | الأتمتة والتطبيق والموثوقية |
| السؤال الجوهري | «هل يمكنكم إثبات الضبط؟» | «أين أُطبّق الضبط؟» |
| خط أنابيب CI/CD | سطح المخاطر | طائرة التحكم |
| مزوّدو الطرف الثالث | موردون تُطبَّق عليهم الحوكمة | منصات تُدمَج بصورة آمنة |
| الأدلة | متطلب صريح | مخرج تلقائي |
| استراتيجية الخروج | إلزامية | كثيرًا ما تُغفَل |
تستلزم المادة 28 من DORA استيفاء كلا المنظورَين في آنٍ واحد.
مبادئ البنية المعمارية للامتثال للمادة 28
1. التعامل مع أدوات الطرف الثالث بوصفها أصولًا بمستوى الإنتاج
يجب أن تلتزم منصات CI/CD والسجلات بقواعد الإنتاج: التصليب والتحكم في الوصول والتسجيل والرصد واختبار الاستمرارية.
إنها ليست أدوات تطوير — بل هي أنظمة ICT خاضعة للتنظيم.
2. جعل العقود تُطبّق الضوابط
يجب أن تُتيح بنود العقود (أو تدعم على الأقل): حقوق التدقيق وإشعارات الحوادث والاحتفاظ بالأدلة وشفافية معالجة البيانات واستراتيجيات الخروج.
لا تكفي العقود وحدها بموجب المادة 28 من DORA. يجب أن تُطبَّق السياسات المحددة تعاقديًا تقنيًا:
- الموافقات الإلزامية،
- بوابات الأمن،
- مسارات التنفيذ المقيّدة،
- قدرات التدقيق والفحص.
خطوط أنابيب CI/CD هي طبقة التطبيق الطبيعية لهذه السياسات.
3. يجب تصميم الأدلة لا «جمعها لاحقًا»
ينبغي أن تُنتج الأدلة بواسطة المنصة ويُحتفَظ بها تلقائيًا: السجلات والموافقات وSBOM/سلاسل الإسناد وسجلات الوصول والجداول الزمنية للحوادث واختبارات الخروج.
إذا استلزمت الأدلة التجميع اليدوي أثناء التدقيق، فمن المرجح ألا تستوفي توقعات المدققين من حيث الموضوعية والاستمرارية.
طبقات الضبط عبر دورة حياة CI/CD
التحكم في الوصول والعزل
بموجب المادة 28 من DORA، يجب على المنظمات إثبات أن منصات الطرف الثالث لا يمكن إساءة استخدامها أو منحها صلاحيات مفرطة.
تشمل المبادئ الجوهرية:
- التحكم في الوصول المبني على الأدوار،
- فصل المهام عبر التطوير والموافقة والنشر،
- الوصول بأدنى الصلاحيات لخطوط الأنابيب والأتمتة.
ينطبق عزل الوصول على:
- مستودعات Git،
- خطوط أنابيب CI/CD والمنفّذون،
- مستودعات القطع الأثرية،
- بيئات وقت التشغيل السحابية.
يجب أن تُثبت الأدلة أن لا فاعلًا أو نظامًا منفردًا يستطيع تجاوز الضوابط من الطرف إلى الطرف.
تطبيق السياسات التعاقدية
يجب تطبيق السياسات المحددة تعاقديًا تقنيًا عبر خطوط أنابيب CI/CD:
- الموافقات مُطبَّقة قبل الإصدار،
- السياسة كشفرة تمنع التغييرات غير المصرّح بها،
- منصات الطرف الثالث تعمل في إطار قيود محددة وقابلة للتدقيق.
سلامة سلسلة التوريد
تستلزم المادة 28 من DORA الرؤية في سلسلة توريد البرمجيات، لا سيما حين تكون مكوّنات الطرف الثالث متورطة.
يشمل ذلك:
- تتبع التبعيات وتحليل تكوين البرمجيات (SCA)،
- توليد فاتورة مواد البرمجيات (SBOM)،
- توقيع القطع الأثرية والتحقق من سلسلة الإسناد،
- فحص صور الحاويات وفحوصات السلامة.
يتوقع المدققون إثباتًا بأن القطع الأثرية المنتجة عبر أنظمة CI/CD من الطرف الثالث لم تتعرض للتلاعب.
الرصد والاستجابة للحوادث
يجب رصد خدمات الطرف الثالث باستمرار:
- مؤشرات التوافر والأداء،
- كشف الحوادث والتصعيد،
- التكامل مع السجلات المركزية أو SIEM.
يتحقق المدققون من أن الرصد ينطبق على مزوّدي الطرف الثالث لا على الأنظمة الداخلية فحسب. يجب أن تُشير سير عمل الحوادث إلى مزوّدي الطرف الثالث المتأثرين وتُثبت تصعيدًا قابلًا للتتبع.
استراتيجية الخروج والاستمرارية
التخطيط للخروج متطلب تنظيمي بموجب المادة 28، لا تمريني اختياري.
سيطرح المدققون التساؤلات التالية:
- هل توجد خطط خروج موثّقة للمزوّدين الحرجين،
- هل اختُبرت هذه الخطط أو مُورِست،
- هل يمكن للمنظمة الانتقال بصورة واقعية تحت الضغط.
يدعم المهندسون استراتيجيات الخروج من خلال:
- تجنب الارتباط الصارم بمورّد محدد،
- توثيق مسارات الاستبدال أو الرجوع،
- الحفاظ على قابلية استنساخ البنية التحتية كشفرة،
- المشاركة في اختبارات التعافي من الكوارث وBCP والخروج.
ما يطلبه المدققون عادةً
بموجب المادة 28 من DORA، يتوقع المدققون أدلةً في خمسة مجالات:
- جرد الموردين — قائمة كاملة بمزوّدي ICT من الطرف الثالث، مُصنَّفة وفق الأهمية الحرجة، ومُعيَّنة إلى مكوّنات CI/CD والسحابة
- البنود التعاقدية — حقوق التدقيق واتفاقيات مستوى الخدمة للحوادث والاحتفاظ بالأدلة وشفافية المعالجين من الباطن والتزامات الخروج
- أدلة ضوابط CI/CD — سجلات الوصول وسجلات الموافقات وSBOM/سلاسل الإسناد وتعريفات سياسة خط الأنابيب
- أدلة الرصد — لوحات المعلومات وتذاكر الحوادث المشيرة إلى مزوّدي الطرف الثالث وتكامل SIEM
- أدلة استراتيجية الخروج — خطط الخروج الموثّقة ونتائج اختبارات DR/BCP وتوثيق استبدال التبعيات
يجب أن تكون الأدلة:
- قابلة للتتبع ← مرتبطة بمزوّد أو ضابط محدد
- قابلة للاستنساخ ← تُنتجها الأنظمة باتساق
- مرتبطة بالزمن ← تُظهر متى كانت الضوابط نشطة
- مقاوِمة للتلاعب ← السجلات والأدلة محمية
نادرًا ما تستوفي جداول البيانات اليدوية وحدها هذه المعايير.
الثغرات الشائعة وأنماط عدم التوافق
تفشل كثير من المنظمات في مراجعات المادة 28 من DORA ليس لانعدام الضوابط، بل لأن:
- المهندسين طبّقوا الضوابط دون سند تعاقدي،
- الأدلة موجودة لكنها غير منسوبة بوضوح،
- استراتيجيات الخروج موجودة على الورق فحسب،
- التبعيات على الطرف الثالث موثوق بها ضمنيًا،
- منصات CI/CD SaaS مستبعدة من نطاق الموردين،
- السجلات متاحة لكن لا يُحتفَظ بها مدةً كافية.
بالفصل الصريح بين منظور المدقق ومنظور المهندس، تضمن أن:
- كل ضابط مدعوم بأساس تعاقدي،
- كل تطبيق تقني مُعيَّن إلى مسار أدلة قابل للتدقيق،
- جاهزية الخروج مُتحقَّق منها لا مفترضة.
خاتمة
لا تقتصر بنية المادة 28 من DORA على إدراج الأدوات — بل تنصبّ على تحديد أين تتمركز مخاطر ICT للطرف الثالث وكيف تُضبَط وكيف يُثبَت الامتثال.
يجب أن تدعم البنية المعمارية حاجة المدقق إلى الأدلة وحاجة المهندس إلى ضوابط قابلة للتطبيق وآلية. وحين يتوافق المنظوران، يصبح الامتثال للمادة 28 خاصيةً هيكليةً في منظومة التسليم لا تمريناً دورياً.
موارد ذات صلة
- حزمة أدلة المادة 28 من DORA (منظور المدقق والمهندس)
- المادة 28 من DORA — قائمة تدقيق المدقق
- مخاطر الطرف الثالث في خطوط أنابيب CI/CD بموجب المادة 28 من DORA
- الامتثال المستمر عبر خطوط أنابيب CI/CD
