ضوابط مخاطر ICT للأطراف الثالثة في خطوط أنابيب CI/CD المنظَّمة
سبب وجود هذه القائمة
في البيئات المنظَّمة، لا يُعدّ الموردون “خارجيين”. فهم جزء من منظومة التسليم لديك.
حين تدعم خدمات الأطراف الثالثة دورة حياة تطوير البرمجيات SDLC لديك (استضافة Git، ومنصات CI/CD SaaS، وسجلات القطع الأثرية، وبيئة التشغيل السحابية، وأدوات الفحص الأمني)، يتوقع المدققون منك الإثبات على:
- حوكمة الموردين (الجرد والتصنيف والعقود وخطط الخروج)
- الضوابط التقنية لـCI/CD (عزل الوصول وتطبيق السياسات والاحتفاظ بالأدلة)
- المراقبة المستمرة والمساءلة (معالجو البيانات الفرعيون واتفاقيات مستوى الخدمة والحوادث)
صُمِّمت هذه القائمة لاستخدامها من قِبل فرق الأمن والهندسة وإدارة المخاطر والتدقيق كخط أساسي مشترك للضوابط.
النطاق: الموردون الذين يؤثرون عادةً في CI/CD
استخدم هذه القائمة لأي مورد يقدّم:
- استضافة Git (GitHub/GitLab SaaS)
- منصة CI/CD (GitHub Actions، GitLab CI SaaS، CircleCI، إلخ)
- عوامل التشغيل (hosted runners / shared runners / cloud runners)
- سجلات القطع الأثرية (سجلات الحاويات / Maven / الثنائيات)
- وكلاء ومرايا التبعيات
- بيئة التشغيل السحابية / Kubernetes المُدار / PaaS
- أدوات الأمن SaaS (SAST/DAST/SCA، فحص الأسرار)
- خدمات المراقبة والتسجيل SaaS (SIEM / المراقبة)
١) جرد الموردين وتحديد الملكية
✅ قائمة المراجعة
- يوجد جرد شامل بالموردين المستخدمين عبر SDLC/CI/CD (بما في ذلك الاستخدام غير المُعلَن).
- لكل مورد مالك تجاري ومالك تقني مُعيَّن بالاسم.
- يوثّق الجرد موضع المورد (Git، CI، السجل، وقت التشغيل، التسجيل).
- الأهمية الحرجة مُعرَّفة لكل مورد (الأثر عند تعطّله أو اختراقه).
- مواقع بيانات المورد ونموذج الاستضافة موثَّقان (الاتحاد الأوروبي/الولايات المتحدة، متعدد المناطق، إلخ).
- مسارات الوصول للأطراف الثالثة إلى أنظمتك مُدرَجة (SSO، رموز API، عوامل تشغيل، Webhooks).
أمثلة على الأدلة
- جدول بيانات جرد الموردين / إدخال CMDB
- خريطة معمارية تبيّن نقاط تماس المورد
- سجل الملكية (RACI)
٢) تصنيف مخاطر الموردين
✅ قائمة المراجعة
- يوجد تصنيف رسمي للمخاطر (حرج / مرتفع / متوسط / منخفض).
- يشمل تقييم المخاطر السرية والنزاهة والتوافر والأثر التنظيمي.
- يُعامَل موردو CI/CD والقطع الأثرية افتراضيًا بوصفهم حرجي النزاهة.
- يحدد تصنيف المخاطر المتطلبات الرقابية الإلزامية (مثلًا تسجيل أقوى، خطة خروج).
- يُراجَع تصنيف المخاطر مرة على الأقل سنويًا أو عند حدوث تغيير جوهري.
أمثلة على الأدلة
- تقرير تقييم المخاطر / الاستبيان
- منهجية مخاطر الأطراف الثالثة
- طوابع زمنية للمراجعة والموافقات
٣) الخط الأساسي التعاقدي (الأمن وقابلية التدقيق)
✅ قائمة المراجعة
- يتضمن العقد التزامات أمنية (الضوابط الأساسية، ومعالجة الثغرات، والتشفير).
- يتضمن العقد حقوق التدقيق أو آلية ضمان معادلة.
- يتضمن العقد جداول زمنية لإشعار الاختراق/الحوادث (بما في ذلك معايير الجوهرية).
- يتضمن العقد التزامات الإفصاح عن معالجي البيانات الفرعيين.
- يتضمن العقد متطلبات الاحتفاظ بالبيانات وحذفها.
- يتضمن العقد توقعات استمرارية الخدمة (BCP/DR).
- يتضمن العقد شروط الخروج/الانتقال (تصدير البيانات، دعم الترحيل).
أمثلة على الأدلة
- بنود العقد الموقّعة (ملحق الأمن)
- سجل معالجي البيانات الفرعيين
- بند اتفاقية مستوى الخدمة لإشعار الحوادث
٤) الهوية والوصول والعزل (التطبيق التقني)
✅ قائمة المراجعة
- يُطبَّق SSO على وحدات تحكم إدارة الموردين حيثما أمكن.
- MFA إلزامي للحسابات ذات الصلاحيات المرتفعة.
- الأدوار محدودة ومرتبطة باحتياجات الوظيفة (مبدأ أقل الصلاحيات).
- تُجرى مراجعات الوصول بانتظام (ربع سنوي للموردين الحرجين).
- عوامل تشغيل CI/CD معزولة (لا عوامل تشغيل مشتركة لأعباء العمل الحساسة).
- الأسرار غير مخزَّنة في واجهات المورد ما لم تكن محكومة (استخدم vault/injection).
- رموز الأطراف الثالثة محدودة النطاق ومُدارة الدورة الحياة ومُراقَبة.
أمثلة على الأدلة
- تصدير سياسة IAM / لقطات الشاشة
- سجلات مراجعة الوصول
- تهيئة عامل التشغيل تبيّن العزل
- سياسة دوران الرموز + الإثبات
٥) تطبيق سياسة خط الأنابيب (بوابات لا يمكن تجاوزها)
✅ قائمة المراجعة
- توجد موافقات إلزامية لعمليات النشر في الإنتاج.
- بوابات السياسة تحجب الإصدارات عند إخفاقات الفحص الحرجة (SAST/SCA/DAST حسب الانطباق).
- يُطبَّق توقيع القطع الأثرية قبل الترقية.
- توليد SBOM آلي للإصدارات.
- تُطبَّق الفروع المحمية / قواعد الدمج للمستودعات المنظَّمة.
- الاستثناءات محكومة (محدودة زمنيًا، موافَق عليها، موثَّقة).
- لا يمكن لمسؤولي خطوط الأنابيب تعطيل الضوابط بصمت (التغييرات متتبَّعة).
أمثلة على الأدلة
- تهيئة خط أنابيب CI/CD (البوابات)
- تهيئة الفروع المحمية
- سجلات موافقة الإصدار
- سجل الاستثناءات
٦) توليد الأدلة والاحتفاظ بها (جاهزية التدقيق بالتصميم)
✅ قائمة المراجعة
- سجلات CI/CD محتفَظ بها لفترة محددة وفق المتطلبات.
- أحداث الموافقة مسجَّلة وقابلة للتصدير.
- نتائج الفحص الأمني مخزَّنة مركزيًا (وليس فقط في لوحات المورد).
- توجد قابلية تتبع: commit → تشغيل خط الأنابيب → القطعة الأثرية → النشر → الإنتاج.
- مخزن الأدلة مقاوم للتلاعب أو محكوم الوصول.
- تصدير الأدلة مختبَر (القدرة على توليد الأدلة بسرعة).
أمثلة على الأدلة
- سياسة الاحتفاظ بالأدلة
- إعدادات الاحتفاظ في SIEM / تهيئة الأرشيف
- تقرير قابلية التتبع (إصدار نموذجي)
- سجل اختبار التصدير (“تدريب التدقيق”)
٧) المراقبة والحوادث ومساءلة الموردين
✅ قائمة المراجعة
- يُوفّر المورد إشعارات بالحوادث الأمنية ضمن اتفاقية مستوى الخدمة المحددة.
- تُراقَب حالة المورد/توافره وتُدمج الإشارات في مسارات عمل العمليات.
- تُراقَب شذوذات خط أنابيب CI/CD (مسارات عمل غير متوقعة، رموز جديدة، عوامل تشغيل جديدة).
- يُتتبَّع التنبيهات الأمنية للموردين ويُقيَّم مدى انطباقها.
- يوجد دليل استجابة داخلي للحوادث يشير إلى مسارات تصعيد الموردين.
- يمكن ربط أحداث خط الأنابيب بأحداث المورد (جدول زمني مشترك).
أمثلة على الأدلة
- لوحات المراقبة + قواعد التنبيه
- خطة الاستجابة للحوادث مع جهات تواصل المورد
- ما بعد الحوادث (Postmortems) التي تشير إلى تورط المورد
- تذاكر تتبع التنبيهات
٨) رؤية معالجي البيانات الفرعيين (عمق سلسلة التوريد)
✅ قائمة المراجعة
- يُوفّر المورد قائمة حالية بمعالجي البيانات الفرعيين.
- تُراجَع التغييرات على معالجي البيانات الفرعيين وتُبلَّغ.
- معالجو البيانات الفرعيون الحرجون خاضعون لتقييم المخاطر.
- تدفقات البيانات المتعلقة بمعالجي البيانات الفرعيين مفهومة.
- العقود تتضمن التزامات معالجي البيانات الفرعيين (الأمن والإشعار).
أمثلة على الأدلة
- تصدير قائمة معالجي البيانات الفرعيين
- سجل مراجعة المخاطر
- مخططات تدفق البيانات
٩) اختبار استراتيجية الخروج (واقعية DR وBCP)
✅ قائمة المراجعة
- يوجد خطة خروج موثَّقة لكل مورد CI/CD حرج.
- يمكن تصدير الكود المصدري وتعريفات خط الأنابيب والقطع الأثرية والسجلات.
- يوجد مسار ترحيل مختبَر (CI/CD بديل، سجل بديل، نموذج عامل تشغيل بديل).
- تُجرى اختبارات الخروج (جلسات نقاشية + تدريبات تقنية) على فترات محددة.
- توقعات RTO/RPO موثَّقة ومُتحقَّق منها بالأدلة.
أمثلة على الأدلة
- وثيقة خطة الخروج
- سجلات اختبار التصدير ولقطات الشاشة
- تقرير تمرين DR
- إثبات مفهوم الترحيل
جدول التدقيق (نعم / لا / ملاحظات)
| مجال الضبط | الفحص | نعم | لا | ملاحظات / رابط الدليل |
|---|---|---|---|---|
| الجرد | جرد الموردين مكتمل (SDLC/CI/CD) | ☐ | ☐ | |
| الملكية | المالك التجاري والتقني مُعرَّفان | ☐ | ☐ | |
| التصنيف | تطبيق التصنيف حسب المخاطر على موردي CI/CD | ☐ | ☐ | |
| العقود | التزامات أمنية في العقد | ☐ | ☐ | |
| العقود | حقوق التدقيق / آلية الضمان | ☐ | ☐ | |
| العقود | اتفاقية مستوى الخدمة لإشعار الحوادث مُعرَّفة | ☐ | ☐ | |
| العقود | بنود الخروج مُدرَجة | ☐ | ☐ | |
| الوصول | SSO مُطبَّق (حيثما أمكن) | ☐ | ☐ | |
| الوصول | MFA إلزامي للحسابات ذات الصلاحيات المرتفعة | ☐ | ☐ | |
| الوصول | تطبيق مبدأ أقل الصلاحيات | ☐ | ☐ | |
| عوامل التشغيل | عزل عوامل التشغيل (لا مشاركة) | ☐ | ☐ | |
| الأسرار | حقن الأسرار في وقت التشغيل (vault) | ☐ | ☐ | |
| بوابات السياسة | موافقات إلزامية للإنتاج | ☐ | ☐ | |
| بوابات السياسة | بوابات حاجبة للنتائج الحرجة | ☐ | ☐ | |
| النزاهة | توقيع القطع الأثرية مُطبَّق | ☐ | ☐ | |
| النزاهة | توليد SBOM آلي | ☐ | ☐ | |
| الأدلة | السجلات محتفَظ بها وفق السياسة | ☐ | ☐ | |
| الأدلة | سجلات الموافقة قابلة للتصدير | ☐ | ☐ | |
| الأدلة | إثبات قابلية التتبع من الـ commit إلى الإنتاج | ☐ | ☐ | |
| المراقبة | مراقبة شذوذات المورد وخط الأنابيب | ☐ | ☐ | |
| معالجو البيانات الفرعيون | رؤية معالجي البيانات الفرعيين ومراجعتهم | ☐ | ☐ | |
| اختبار الخروج | خطة الخروج مختبَرة بأدلة | ☐ | ☐ |
دليل التطبيق التقني
تُحدّد هذه القائمة توقعات الحوكمة.
للاطلاع على دليل تطبيق هندسي عملي (GitHub، GitLab، عزل عوامل التشغيل، بوابات السياسة، توقيع القطع الأثرية)، انظر:
👉 دليل المعالجة الهندسية لضوابط موردي CI/CD
يقدّم هذا المقال المرافق أمثلة تهيئة ملموسة وأنماط تطبيق عملية.
