مخاطر الأطراف الثالثة في مسارات CI/CD في إطار المادة 28 من DORA

بقلم

تُلزم المادة 28 من DORA الكيانات المالية بإدارة المخاطر الناجمة عن مزودي خدمات ICT من الأطراف الثالثة.

في عالم تسليم البرمجيات الحديث، تُعدّ مسارات CI/CD من بين الأنظمة الأكثر اعتماداً على الأطراف الثالثة في المؤسسة.

منصات Git ومشغّلو CI والإضافات ومسجلات الأدوات ليست مجرد خيارات تقنية — بل هي خدمات خارجية مدمجة تؤثر مباشرةً على سلامة البرمجيات وتوافرها والمرونة التشغيلية.

تتناول هذه المقالة تحديداً مخاطر الأطراف الثالثة داخل مسارات CI/CD، وتوضّح أين تنشأ هذه المخاطر، وكيف تنطبق عليها المادة 28 من DORA، وأي الضوابط يتوقع المدققون تطبيقها.

DORA Article 28 — Tools → Controls → Evidence Diagram mapping enterprise DevSecOps tooling to enforceable CI/CD controls and resulting audit evidence, with cross-cutting DORA Article 28 third-party governance requirements. Tools → Controls → Evidence DORA Article 28 view: third-party ICT governance enforced through CI/CD controls and provable evidence. CROSS-CUTTING (ARTICLE 28) Supplier governance Contract clauses Monitoring Exit plan Evidence retention MAPPING LAYER Tools Platforms & services Controls Enforced requirements Evidence What auditors verify TOOLS Git / Source Hosting CI/CD Orchestrator + Runners Registries + Dependencies Cloud Runtime + Observability CONTROLS Access control + MFA + SoD Approvals + policy gates Integrity: SBOM + signing + provenance Monitoring + incident workflows EVIDENCE Audit logs + access reviews Approvals & change traceability SBOM + attestations + signatures Monitoring data + incident records Tip: Under DORA Article 28, tools are acceptable only if they enforce controls and continuously produce auditable evidence.
Diagram mapping enterprise DevSecOps tooling to enforceable CI/CD controls and resulting audit evidence, with cross-cutting DORA Article 28 third-party governance requirements.

لماذا تُشكّل مسارات CI/CD نقطة تركّز لمخاطر الأطراف الثالثة

تجمع مسارات CI/CD تبعيات خارجية متعددة في تدفق تنفيذي واحد:

  • يُستضاف كود المصدر خارجياً،
  • كثيراً ما تُشغَّل عمليات البناء على بنية تحتية مشتركة أو مُدارة،
  • يُسحب كود الأطراف الثالثة آلياً،
  • تُخزَّن الأدوات وتُوزَّع عبر خدمات خارجية.

من منظور DORA، تمثّل مسارات CI/CD:

  • تبعيات ICT عالية الأثر،
  • تتمتع بـصلاحيات وصول امتيازية،
  • تعمل بـسرعة الآلة،
  • وقادرة على نشر الإخفاقات أو الاختراقات مباشرةً في بيئة الإنتاج.

نتيجةً لذلك، يجب معاملة منصات CI/CD باعتبارها خدمات ICT من أطراف ثالثة ضمن نطاق المادة 28.

CI/CD Red Flags — DORA Article 28 (Third-Party Risk) Enterprise CI/CD diagram highlighting common DORA Article 28 third-party risk red flags: missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights, and missing evidence retention. CI/CD Red Flags — DORA Article 28 Third-party risk failures auditors frequently flag in Git, CI/CD SaaS, runners, registries, and cloud runtime. CROSS-CUTTING (ARTICLE 28) Supplier governance Audit rights Exit strategy Evidence retention Git Hosting GitHub / GitLab SaaS No audit rights CI/CD SaaS Orchestrator No exit plan CI Runners Cloud execution Shared runners Registries Artifacts + images No retention Cloud Runtime Prod services No sub-processor view ENGINEER REMEDIATION HINTS Tested exit strategy (CI/CD) Dedicated / isolated runners Supplier + sub-processor map Centralized logs + retention Auditor rule: if controls cannot produce time-bound evidence on demand, they are treated as ineffective under Article 28. Focus areas: CI/CD platform scope, contractual auditability, runner isolation, sub-processor governance, and evidence retention.
Enterprise CI/CD diagram highlighting common DORA Article 28 third-party risk red flags: missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights, and missing evidence retention.

GitHub / GitLab SaaS بوصفهما مزوِّدَيْن من أطراف ICT ثالثة

التعرض للمخاطر

تتحكم منصتا GitHub وGitLab SaaS في الوصول إلى كود المصدر، وسير عمل الموافقة على التغييرات، وتطبيق الهوية والصلاحيات. قد يؤدي الاختراق أو سوء التكوين إلى تغييرات كود غير مصرح بها، وتجاوز الموافقات، وفقدان إمكانية التتبع.

متطلبات المادة 28

يتوقع المدققون إدراج منصات استضافة Git في جرد الأطراف الثالثة، وتصنيف المخاطر بوضوح، وتطبيق مبدأ الفصل بين المهام، وأدلة على ضبط الوصول والموافقات. تُعامَل سجلات الوصول وموافقات طلبات السحب وإعدادات حماية الفروع بوصفها أدلة تدقيق.

مشغّلو CI السحابيون

المشغّلون المُدارون أو المستضافون سحابياً ينفّذون كوداً غير موثوق، ويصلون إلى الأسرار وبيانات الاعتماد، ويتفاعلون مع أنظمة داخلية وخارجية. كثيراً ما يعملون على بنية تحتية مشتركة، مما يزيد من التعرض للمخاطر.

يتوقع المدققون توثيق إعدادات عزل المشغّل، وضوابط سرية تمنع التسرب إلى سياقات الأطراف الثالثة، وقدرات على تشغيل مشغّلات ذاتية الاستضافة عند الاقتضاء.

“من يتحكم في بيئة التنفيذ التي يُبنى فيها كودكم؟”

إجراءات السوق والإضافات

تُدخل أسواق CI/CD كوداً من أطراف ثالثة غير مفحوص مباشرةً في المسارات. تشمل المخاطر: هجمات سلسلة التوريد، والتحديثات الخبيثة، وغياب التحكم في الإصدار، وعدم وضوح الملكية. يتوقع المدققون حوكمة على الإضافات المسموح بها، وتثبيت الإصدار، وعمليات المراجعة.

مسجلات الأدوات ومسجلات الحزم الخارجية

مسجلات الأدوات تخزّن وتوزّع مخرجات البناء وصور الحاويات والمكتبات الداخلية. في حال اختراقها، يمكن أن تنشر أدوات خبيثة وتؤثر على أنظمة متعددة. يتوقع المدققون ضوابط الوصول وسياسات الثبات وتوقيع الأدوات والتحقق منه.

قائمة التحقق من الامتثال للمادة 28 في مسارات CI/CD

منطقة التحكمما يطلبه المدققونالحالة
جرد الأطراف الثالثةجميع أدوات ومنصات CI/CD مُدرجة في سجل TPRM
الالتزامات التعاقديةعقود فيها حقوق تدقيق وأهداف SLA وبنود خروج
فحص التبعياتSCA مُنفَّذ في المسار مع حفظ النتائج
إدارة الأسرارمزودو الأسرار في سجل TPRM مع خطط الاستمرارية
عزل المشغّلتوثيق إعدادات العزل وأخذها في الاعتبار
خطط الخروجخطط خروج موثقة ومُختبَرة لجميع مزودي CI/CD الحرجين
SBOM وSCASBOM مُولَّد في كل بناء ومحفوظ

خلاصة

يُعدّ التعامل مع CI/CD بوصفه بنية تحتية داخلية لا خدمات ICT من أطراف ثالثة من أكثر الأخطاء شيوعاً. المنصات والمشغّلون والمسجلات وأدوات الفحص هي خدمات خارجية حرجة — يجب تطبيق متطلبات TPRM الكاملة عليها: الجرد والتصنيف والعقود والرقابة والخروج.

سياق “جاهز للتدقيق”

محتوى موجّه للبيئات الخاضعة للتنظيم: الضوابط قبل الأدوات، فرض السياسات داخل CI/CD، وتوليد الأدلة بالتصميم لأغراض التدقيق.

التركيز على التتبّع، الموافقات، حوكمة الاستثناءات، والاحتفاظ بالأدلة عبر مراحل البناء والإصدار والتشغيل.

اطّلع على المنهجية في صفحة About.