ابدأ من هنا — دليل المدقق لأمان CI/CD

مرحبًا أيها المدقق

إذا كنت تُدقّق أو تُقيّم أو تُدير منظمات تُسلّم البرمجيات، فهذا الموقع مُصمَّم لك. يستخدم تسليم البرمجيات الحديث خطوط أنابيب آلية (CI/CD) تخضع بشكل متزايد للرقابة التنظيمية — في إطار DORA وNIS2 وISO 27001 وSOC 2 وPCI DSS.

لا تحتاج إلى فهم الكود لتدقيق خطوط أنابيب CI/CD. تحتاج إلى فهم الضوابط والأدلة وكيف يبدو شكل الحوكمة الجيدة. يمنحك هذا الدليل هذا الأساس.

يساعدك هذا الدليل على التنقل في الموقع وبناء الثقة في تقييم بيئات CI/CD، حتى بدون خلفية تقنية عميقة.

---

ما هو خط أنابيب CI/CD؟

خط أنابيب CI/CD نظام آلي يأخذ الكود الذي كتبه المطورون وينقله عبر سلسلة من المراحل — البناء، الاختبار، المسح، الموافقة، النشر — قبل وصوله إلى الإنتاج. فكّر فيه كخط تجميع خاضع للضبط للبرمجيات، حيث تُجري كل محطة فحص جودة أو أمان محددًا.

إليك عرضًا مبسطًا لخط أنابيب نموذجي:

الكود ← البناء ← الاختبار ← المسح ← الموافقة ← النشر ← المراقبة

كل مرحلة تخدم غرضًا مميزًا — وكل منها مهمة لضمان التدقيق:

• الكود — يكتب المطورون التغييرات ويُلزمون بها في مستودع خاضع لإدارة الإصدارات. يهتم المدققون لأن هذا هو المكان الذي تبدأ فيه إمكانية التتبع.
• البناء — يُجمَّع كود المصدر إلى مخرجات قابلة للنشر. يهتم المدققون لأن سلامة البناء تضمن أن ما تمت مراجعته هو ما يُنشر.
• الاختبار — تتحقق الاختبارات الآلية من الوظيفة وتكشف الانتكاسات. يهتم المدققون لأن أدلة الاختبار تُثبت العناية الواجبة في ضمان الجودة.
• المسح — تتحقق أدوات المسح الأمني من الثغرات وسوء التكوين ومخاطر الترخيص. يهتم المدققون لأن هذا ضابط أساسي لتحديد نقاط الضعف المعروفة قبل النشر.
• الموافقة — تقرر بوابات الموافقة البشرية أو الآلية ما إذا كان يجب المضي قدمًا في التغيير. يهتم المدققون لأن تطبيق الموافقة حجر الزاوية لفصل المهام.
• النشر — تُطلَق المخرجات في الإنتاج عبر عملية آلية وقابلة للتكرار. يهتم المدققون لأن ضوابط النشر تحدد ما إذا كان بإمكان التغييرات غير المعتمدة الوصول إلى الإنتاج.
• المراقبة — تكشف أنظمة التشغيل حالات الشذوذ ومشكلات الأداء والأحداث الأمنية. يهتم المدققون لأن المراقبة تُغلق حلقة التغذية الراجعة وتُمكّن من اكتشاف الحوادث.

الرؤية الأساسية: يجعل خط الأنابيب المُصمَّم جيدًا الأمان إلزاميًا. أما ذلك المُصمَّم بشكل رديء فيجعله اختياريًا.

تحدد بنية خط الأنابيب ما إذا كانت ضوابط الأمان إلزامية (مُطبَّقة بحكم التصميم) أم اختيارية (تعتمد على انضباط الأفراد). هذا التمييز حيوي للمدققين: يجعل خط الأنابيب المُصمَّم جيدًا الامتثال خاصية في النظام، لا مشروعًا دوريًا.

هل تحتاج إلى تعريفات؟ راجع المسرد للاطلاع على شروح بلغة واضحة للمصطلحات التقنية.

---

لماذا يحتاج المدققون إلى فهم تسليم البرمجيات

تتطلب اللوائح الآن صراحةً من المنظمات حوكمة أنظمة تسليم البرمجيات الخاصة بها:

• DORA (قانون الصمود التشغيلي الرقمي) — يُعامل خطوط أنابيب CI/CD كأنظمة ICT خاضعة لإدارة المخاطر والاختبار والرقابة على الأطراف الثالثة
• NIS2 — يتطلب أمان سلسلة التوريد والإبلاغ عن الحوادث وتدابير إدارة المخاطر التي تتضمن مباشرةً تسليم البرمجيات
• ISO 27001 — تغطي ضوابط الملحق أ تطوير الأنظمة وإدارة التغيير وعلاقات الموردين
• SOC 2 — معايير خدمة الثقة لإدارة التغيير (CC8)، الوصول المنطقي (CC6)، وعمليات النظام (CC7) تتعلق جميعًا بـ CI/CD
• PCI DSS الإصدار 4.0 — يُلزم المتطلب 6 بممارسات التطوير الآمن وإدارة الثغرات

يُعيّن الجدول التالي متطلبات تنظيمية محددة إلى ما تتطلبه لتسليم البرمجيات:

اللائحة	المادة / المتطلب	ما تتطلبه لتسليم البرمجيات
DORA	المادة 9	يجب أن يغطي إطار إدارة مخاطر ICT أنظمة CI/CD، بما يشمل قدرات الحماية والاكتشاف والاستجابة
DORA	المادة 21	يجب أن تكون إدارة تغيير ICT خاضعة للضبط والاختبار والموافقة — تنطبق مباشرةً على حوكمة خط الأنابيب
DORA	المادة 28	تمتد إدارة مخاطر ICT الأطراف الثالثة إلى مزودي السحابة وأدوات SaaS وموفري خدمات خطوط الأنابيب
NIS2	المادة 21	يجب أن تتناول تدابير إدارة المخاطر أمان سلسلة التوريد والتعامل مع الثغرات وممارسات التطوير الآمن
ISO 27001	A.8.25	دورة حياة التطوير الآمن — يجب تصميم الأمان في عملية التطوير
ISO 27001	A.8.28	ممارسات البرمجة الآمنة — يجب تطوير الكود ومراجعته واختباره وفق معايير الأمان
ISO 27001	A.8.29	اختبار الأمان في التطوير والقبول — يجب أن يتحقق الاختبار من استيفاء متطلبات الأمان
SOC 2	CC6	ضوابط الوصول المنطقي والمادي — تقييد من يمكنه تعديل تكوينات خط الأنابيب والنشر في الإنتاج
SOC 2	CC7	عمليات النظام — المراقبة واكتشاف الحوادث والاستجابة لها لبنية CI/CD التحتية
SOC 2	CC8	إدارة التغيير — يجب اعتماد التغييرات واختبارها والموافقة عليها قبل التطبيق
PCI DSS	المتطلب 6	تطوير الأنظمة الآمنة وصيانتها — يشمل البرمجة الآمنة وإدارة الثغرات وضوابط التغيير
PCI DSS	المتطلب 8	تحديد المستخدمين وتوثيق وصولهم — MFA وضوابط الوصول لأنظمة خطوط الأنابيب والنشر
PCI DSS	المتطلب 10	تسجيل جميع حالات الوصول ومراقبتها — مسارات التدقيق لنشاط خط الأنابيب وعمليات النشر وتغييرات التكوين

إذا لم يكن تسليم البرمجيات ضمن نطاق تدقيقك، فقد تفوتك سطح ضبط حيوي.

---

الأشياء الخمسة التي يجب على كل مدقق التحقق منها

بصرف النظر عن الإطار التنظيمي، تُشكّل هذه المجالات الخمسة أساس ضمان تدقيق CI/CD:

1. سلامة خط الأنابيب

هل يمكن تعديل تكوينات خط الأنابيب بدون موافقة؟ هل المراحل إلزامية أم قابلة للتجاوز؟ هل هناك دليل على تنفيذ مقاوم للتلاعب؟

• الأدلة التي يجب طلبها: ملفات تكوين خط الأنابيب (YAML/JSON) مُخزَّنة في نظام إدارة الإصدارات، سجلات تدقيق تغييرات تعريف خط الأنابيب، قواعد حماية الفروع التي تمنع التعديلات المباشرة.
• علامة تحذيرية: يمكن تعديل تعريفات خط الأنابيب مباشرةً في واجهة مستخدم أداة CI/CD بدون نظام إدارة إصدارات أو موافقة — وهذا يعني أن أي شخص يملك وصولًا يمكنه إزالة مراحل الأمان بصمت.
• دراسة معمّقة: ضوابط أمان CI/CD الأساسية

2. ضوابط الوصول وفصل المهام

هل يمكن للشخص نفسه كتابة الكود ونشره في الإنتاج؟ هل الأدوار ذات الامتيازات محمية بـ MFA؟ هل تُجرى مراجعات الوصول؟

• الأدلة التي يجب طلبها: مصفوفة ضبط الوصول القائم على الأدوار (RBAC) لأدوات CI/CD، سجلات تطبيق MFA، سجلات مراجعة الوصول الدورية، أدلة على أن النشر يتطلب معتمدًا مختلفًا عن مؤلف الكود.
• علامة تحذيرية: حساب مستخدم واحد يملك أذونات “الدمج في الفرع الرئيسي” و”النشر في الإنتاج” بدون الحاجة إلى موافقة ثانوية.
• دراسة معمّقة: كيف يراجع المدققون خطوط أنابيب CI/CD فعليًا

3. إدارة الأسرار

هل تُخزَّن بيانات الاعتماد في مخزن مركزي؟ هل تُدار بالتدوير الآلي؟ هل يمكن أن تظهر الأسرار في السجلات أو الكود؟

• الأدلة التي يجب طلبها: تكوين المخزن وسياسات الوصول، جداول تدوير الأسرار، تكوين إخفاء السجلات، نتائج مسح من أدوات اكتشاف الأسرار.
• علامة تحذيرية: بيانات الاعتماد مُبرمَجة بشكل ثابت في ملفات تكوين خط الأنابيب أو متغيرات البيئة المرئية في سجلات البناء.
• دراسة معمّقة: المسرد — إدارة الأسرار

4. إثبات أصل المخرجات

هل المخرجات المنشورة موقعة وقابلة للتتبع إلى تشغيل خط أنابيب محدد؟ هل يمكن لمخرجات غير موقعة أو غير ممسوحة الوصول إلى الإنتاج؟

• الأدلة التي يجب طلبها: شهادات توقيع المخرجات وسياسات التحقق، قائمة مواد البرمجيات (SBOM) لعمليات النشر الأخيرة، توقيعات صور الحاويات، قواعد السياسة كود التي تحجب المخرجات غير الموقعة.
• علامة تحذيرية: حاويات الإنتاج مسحوبة من سجل عام بدون التحقق من التوقيع أو المسح الأمني.
• دراسة معمّقة: المسرد — SBOM (قائمة مواد البرمجيات)

5. تطبيق موافقة التغيير

هل مراجعات طلبات السحب إلزامية؟ هل تُسجَّل الموافقات؟ هل يمكن للتغييرات الطارئة تجاوز الضوابط بدون استثناءات موثقة؟

• الأدلة التي يجب طلبها: قواعد حماية الفروع التي تتطلب الموافقات، سجلات دمج التدقيق التي تُظهر هويات المراجعين، توثيق إجراءات التغيير الطارئ، سجلات الاستثناءات مع المبررات ومراجعة ما بعد الحادثة.
• علامة تحذيرية: تُستخدم ميزة “تجاوز المدير” بشكل منتظم لتجاوز المراجعات المطلوبة، بدون توثيق استثناء أو متابعة تدقيق.
• دراسة معمّقة: دليل يوم التدقيق

---

مسارات القراءة

اختر المسار الأكثر توافقًا مع دورك وأهدافك:

إذا كنت جديدًا على تدقيق CI/CD:

1. المسرد — تعلّم المصطلحات أولًا
2. هذا الدليل — افهم الهيكل والمفاهيم الرئيسية
3. ضوابط أمان CI/CD الأساسية — الضوابط الأساسية التي يجب أن يمتلكها كل خط أنابيب
4. كيف يراجع المدققون خطوط أنابيب CI/CD فعليًا — منهجية مراجعة عملية

إذا كنت تُدقّق في إطار DORA:

1. ابدأ بـصفحة محور DORA — نظرة عامة وفهرس المقالات
2. اقرأ دراسة معمّقة للمادة 21 من DORA — ضوابط إدارة مخاطر ICT
3. اقرأ شرح المادة 28 من DORA — مخاطر ICT الأطراف الثالثة
4. استخدم قائمة تدقيق المادة 28 من DORA
5. راجع تعيين الضوابط والأدلة

إذا كنت تُدقّق في إطار NIS2:

1. ابدأ بـصفحة محور NIS2 — نظرة عامة ونطاق التطبيق
2. اقرأ شرح بنية أمان NIS2
3. راجع دراسة معمّقة لأمان سلسلة توريد NIS2
4. استخدم قائمة تدقيق سلسلة توريد NIS2

إذا كنت تُدقّق في إطار ISO 27001 أو SOC 2 أو PCI DSS:

1. ابدأ بـتعيين الامتثال (ISO 27001 / SOC 2 / DORA)
2. اقرأ تعيين الامتثال (NIS2 / PCI DSS)
3. راجع بنية الامتثال المزدوج

إذا كنت تُقيّم أطر متعددة:

1. بنية الامتثال المزدوج — كيفية استيفاء المتطلبات المتداخلة بكفاءة
2. مصفوفة تداخل ISO 27001 مقابل DORA مقابل NIS2 — مقارنة جانبية لمتطلبات الضوابط
3. تحليل تداخل NIS2 مقابل DORA — تعيين مفصّل للالتزامات المشتركة والمتمايزة

إذا كنت تستعد لعملية تدقيق:

1. قبل وصول المدقق: قائمة تدقيق الاستعداد
2. دليل يوم التدقيق
3. ورقة مرجعية لأسئلة وأجوبة يوم التدقيق

---

كيف يُنظَّم هذا الموقع

• الأطر التنظيمية — DORA وNIS2 ودراسات معمّقة خاصة باللوائح
• التدقيق والحوكمة — ما يقيّمه المدققون ونماذج الحوكمة ومستويات النضج
• البنية المعمارية — CI/CD كأنظمة تطبيق ونماذج النضج
• حوكمة أمان التطبيقات — SDLC الآمن وأطر المخاطر
• نماذج تشغيل DevSecOps — الأدوار والمسؤوليات وأطر التشغيل
• المسرد — تعريفات بلغة واضحة للمصطلحات التقنية

للاطلاع على إرشادات التطبيق التقني (الكود والتكوينات وإعداد الأدوات)، تفضل بزيارة موقعنا الشقيق secure-pipelines.com.

---

مرجع سريع

الموارد الأكثر استخدامًا في الموقع:

• المسرد — تعريفات بلغة واضحة لمصطلحات CI/CD والأمان
• نتائج التدقيق الشائعة — أكثر 10 — أكثر إخفاقات ضوابط CI/CD شيوعًا يواجهها المدققون
• الإحاطة التنفيذية للتدقيق — ملخص رفيع المستوى للقيادة والإبلاغ للمجلس
• دليل الموارد الكامل — فهرس كامل لجميع الأدلة وقوائم التدقيق والمواد المرجعية

---

صُمِّم هذا الموقع لتنمية ثقتك في تقييم بيئات CI/CD. كل مقال مكتوب من منظورك — الضوابط والأدلة والتحقق. لا يلزم فهم الكود.