Správa a řízení bezpečnosti pipeline CI/CD pro audity v roce 2026
Je pondělí 08:17 a CISO rychle rostoucí fintech společnosti dostává zprávu, které se obává každý bezpečnostní manažer:
„Produkční build vypadá čistě, ale hash artefaktu neodpovídá zdrojovému commitu.“
Během několika minut vývojový tým potvrzuje, že vydání prošlo jednotkovými testy, existuje tiket k nasazení a služba dostupná zákazníkům je stabilní. Pipeline však ukazuje jiný příběh. Self-hosted runner CI byl opakovaně použit napříč projekty. Dočasné cloudové přihlašovací údaje zůstaly aktivní déle, než bylo zamýšleno. Registr artefaktů obsahuje podepsaný kontejnerový image, ale podpisový klíč byl dostupný ze stejného runneru, který spouštěl nedůvěryhodné build skripty.
Release manager dokáže prokázat, že něco bylo nasazeno. Organizace však nedokáže, alespoň ne dostatečně rychle, prokázat, co bylo sestaveno, kdo to schválil, zda bylo prostředí buildu čisté a zda by důkazy obstály při auditu nebo vyšetřování incidentu.
To již není pouze problém DevOps.
V roce 2026 se správa a řízení bezpečnosti pipeline CI/CD nachází na průsečíku zabezpečení softwarového dodavatelského řetězce, provozní odolnosti, odpovědnosti za ochranu soukromí, bezpečnosti produktů a dohledu řídicích orgánů nad kybernetickými riziky. NIS2 ukládá řídicím orgánům schvalovat opatření řízení kybernetických rizik a dohlížet na ně. DORA vyžaduje, aby finanční subjekty řídily rizika v oblasti ICT, incidenty, testování a závislosti na třetích stranách. GDPR vyžaduje, aby správci a zpracovatelé doložili odpovídající zabezpečení a odpovědnost za osobní údaje. Akt o kybernetické odolnosti zvyšuje tržní očekávání na bezpečné produkty s digitálními prvky, bezpečné aktualizace a zvládání zranitelností. ISO/IEC 27001:2022 vyžaduje ISMS, který převádí ošetření rizik do kontrolovaných a doložených provozních činností.
Pipeline se stala auditní stopou důvěry v moderní software.
Nová otázka compliance: dokážete prokázat, co se dostalo do produkce?
Programy DevSecOps se po léta soustředily na přidávání skenerů do pipeline. Statická analýza, kontroly závislostí, skenování tajných údajů, skenování kontejnerů a validace infrastructure-as-code se staly běžnou praxí. Tato opatření jsou nadále důležitá, ale neodpovídají na otázku řízení, kterou dnes kladou auditoři, regulační orgány, zákazníci a řídicí orgány:
Dokáže organizace prokázat, že každé produkční nasazení pocházelo ze schváleného zdrojového kódu, bylo sestaveno v kontrolovaném prostředí, vytvořilo ověřitelný artefakt, prošlo požadovanými bezpečnostními branami, použilo schválené přihlašovací údaje, dodrželo řízení změn a vygenerovalo důkazy, které lze uchovat?
Útočníci vědí, že build systémy, balíčkové závislosti, tokeny vývojářů, runnery CI, automatizace vydání, registry artefaktů a role pro cloudové nasazení jsou vysoce hodnotné cíle. Kompromitovaná pipeline může obejít tradiční obranná opatření, protože využívá důvěryhodnou automatizaci k prosazení škodlivého kódu do důvěryhodných prostředí.
Vyspělý model správy a řízení bezpečnosti pipeline CI/CD proto potřebuje šest pilířů důkazů.
| Pilíř důkazů | Co prokazuje | Typické důkazy |
|---|---|---|
| Integrita zdroje | Nasazený artefakt pochází ze schváleného zdrojového kódu | ID commitu, ochrana větví, schválení pull requestů, podepsané commity, auditní logy repozitáře |
| Původ buildu | Artefakt byl vytvořen známou pipeline za kontrolovaných podmínek | ID buildu, identita runneru, receptura buildu, manifest závislostí, hash artefaktu, záznam o podpisu |
| Zodolnění runneru | Prostředí pro spouštění úloh nemohlo být snadno znovu použito ani pozměněno | Logy životního cyklu dočasného runneru, výchozí image, stav záplat, izolační opatření, síťová omezení |
| Integrita artefaktu | Balíček vydání nebyl po buildu změněn | Podpis, kontrolní součet, log registru, záznam o povýšení, politika neměnných tagů |
| Řízení nasazení | Změna byla autorizovaná, otestovaná a dohledatelná | ID požadavku na změnu, důkazy o schválení, logy povýšení mezi prostředími, plán návratu do původního stavu |
| Forenzní připravenost | Důkazy lze uchovat během auditu nebo reakce na incidenty | Exportované logy, snímky obrazovky, hashe souborů, záznam řetězce předání důkazů |
Zde se přístup Clarysec liší od kontrolního seznamu compliance. Platformu CI/CD považujeme za řízený podnikový proces, nikoli pouze za technický nástroj. Tento proces musí být zahrnut do rozsahu ISMS, posouzen z hlediska rizik, řízen, monitorován, auditován a zlepšován.
Zařaďte CI/CD do ISMS podle ISO/IEC 27001:2022
ISO/IEC 27001:2022 začíná kontextem, zainteresovanými stranami a rozsahem. Kapitoly 4.1 až 4.4 vyžadují, aby organizace porozuměly interním a externím otázkám, určily požadavky zainteresovaných stran, identifikovaly právní, regulační a smluvní požadavky a definovaly rozsah ISMS s ohledem na závislosti na jiných organizacích.
U poskytovatele SaaS, fintech společnosti, poskytovatele řízených služeb, dodavatele softwaru nebo cloud-native společnosti je CI/CD téměř vždy součástí tohoto rozsahu, protože přímo ovlivňuje poskytování služby, zákaznická data, produkční infrastrukturu a smluvní závazky.
Kapitoly 5.1 až 5.3 stanoví odpovědnost vedení za ISMS. To je důležité, protože moderní automatizace vydání stojí mezi vývojem, bezpečností, cloudovým provozem, nákupem, compliance a produktovým řízením. Pokud žádný člen vrcholového vedení nevlastní apetit k riziku pro automatizaci produkčních nasazení, organizace obvykle skončí s roztříštěnými nástroji a nekonzistentními důkazy.
Kapitoly 6.1.1 až 6.1.3 tvoří páteř plánování. Organizace musí posoudit rizika pro důvěrnost, integritu a dostupnost, identifikovat vlastníky rizik, porovnat rizika s kritérii, vybrat opatření, porovnat vybraná opatření s přílohou A, vytvořit Prohlášení o použitelnosti a získat schválení plánu ošetření rizik a zbytkového rizika.
Posouzení rizik CI/CD by nemělo pouze uvádět „riziko softwarového dodavatelského řetězce“. Mělo by pojmenovat realistické scénáře:
- Škodlivý build skript exfiltruje podpisové klíče ze sdíleného runneru.
- Vývojář obejde ochranu větví a nasadí nepřezkoumaný kód.
- Kompromitovaná akce třetí strany změní artefakt během buildu.
- Přihlašovací údaje pro staging umožní přístup do produkčního prostředí.
- Nasazení proběhne bez propojeného požadavku na změnu.
- Logy pipeline potřebné pro rekonstrukci incidentu jsou po sedmi dnech přepsány.
- Incident otrávení závislosti se dostane do předprodukčního nebo produkčního prostředí.
Kapitola 8.1 následně vyžaduje plánovaný a řízený provoz procesů ISMS, dokumentované důkazy, řízení plánovaných změn, přezkum nezamýšlených změn a kontrolu externě poskytovaných procesů, produktů nebo služeb relevantních pro ISMS. Pokud pipeline mění produkci, musí vytvářet důkazy o řízeném provozu.
Model opatření Clarysec pro bezpečnou dodávku softwaru
Clarysec propojuje politiky, opatření a auditní důkazy. Zenith Blueprint: 30krokový plán auditora Zenith Blueprint zařazuje secure DevOps a bezpečný vývoj do fáze řízení rizik, kroku 14. Uvádí, že organizace musí zabezpečit nástroje CI/CD, zajistit, aby nasazení mohli spouštět pouze oprávnění pracovníci, používat MFA pro přístup k pipeline, chránit integritu artefaktů buildu a protokolovat a monitorovat akce CI/CD.
„Opatření pro pipeline DevOps: nástroje CI/CD musí být zabezpečeny – nasazení mohou spouštět pouze oprávnění pracovníci; pro přístup k pipeline používejte MFA; chraňte integritu artefaktů buildu. Protokolujte a monitorujte akce CI/CD.“
Toto doporučení se stává použitelným, jakmile je převedeno do ustanovení politik a požadavků na důkazy.
P24 Politika bezpečného vývoje Politika bezpečného vývoje stanoví:
„Artefakty buildu musí být podepsané a dohledatelné ke zdrojovým commitům.“
Jde o jedno z nejsilnějších opatření v programu správy a řízení CI/CD. Vývojovému týmu říká, že produkční artefakt musí nést ověřitelnou linii původu zpět ke správě zdrojového kódu. Auditorům zároveň říká, co mají testovat: vybrat produkční vydání, zkontrolovat podpis artefaktu, ověřit referenci na commit, přezkoumat schválení pull requestu a potvrdit záznam buildu v pipeline.
Stejná politika stanoví:
„Veškeré vývojové činnosti musí být sledovány prostřednictvím schválených systémů správy verzí s vynuceným řízením přístupu, auditními stopami a ochranou větví.“
Tím se správa a řízení posouvá proti proudu procesu. Pokud nejsou chráněny zdrojové repozitáře, je původ buildu slabý. Pokud lze obejít ochranu větví, pipeline může spolehlivě sestavit neschválený kód. Pokud jsou auditní stopy vypnuté, rekonstrukce incidentu závisí na paměti a snímcích obrazovky místo na důkazech.
Pro menší organizace obsahuje Politika bezpečného vývoje pro SME Politika bezpečného vývoje pro SME pragmatický minimální požadavek:
„Sledování verze kódu, data nasazení a schvalovatele“
Taková jednoduchá evidence nasazení je silným výchozím bodem. Mnoho SME nepotřebuje hned první den rozsáhlou správu vydání, ale musí vědět, jaká verze byla uvedena do produkce, kdy a kdo ji schválil.
Politika pro SME dále stanoví:
„Přístup k nástrojům nebo systémům pro produkční nasazení musí být řízen, protokolován a pravidelně přezkoumáván generálním ředitelem nebo poskytovatelem IT služeb.“
To je krok správy a řízení, který mnoha menším týmům chybí. Platforma CI/CD s produkčními cloudovými přihlašovacími údaji je privilegovanou cestou přístupu do produkčního prostředí.
Tři oblasti opatření ISO/IEC 27002:2022 za bezpečným CI/CD
Zenith Controls: průvodce napříč rámci compliance Zenith Controls je kompas Clarysec pro mapování oficiálních norem a rámců na praktické vztahy mezi opatřeními. Pro správu a řízení bezpečnosti pipeline CI/CD jsou zásadní tři oblasti opatření ISO/IEC 27002:2022.
| Opatření ISO/IEC 27002:2022 | Role ve správě CI/CD | Související opatření a důkazy |
|---|---|---|
| 5.21 Řízení bezpečnosti informací v dodavatelském řetězci ICT | Řídí platformy CI/CD, akce třetích stran, repozitáře balíčků, cloudové služby buildu, registry a outsourcovaný vývoj | Prověrka dodavatelů, smluvní bezpečnostní požadavky, logy poskytovatele, evidence závislostí |
| 8.25 Bezpečný životní cyklus vývoje softwaru | Začleňuje bezpečnost do požadavků, návrhu, kódování, buildu, testování a vydání | Bezpečná architektura, bezpečné kódování, bezpečnostní testování, podepisování artefaktů, důkazy o vydání |
| 8.32 Řízení změn | Zajišťuje, že nasazení jsou záměrná, odůvodněná, schválená a auditovatelná | ID požadavku na změnu, schválení, log nasazení, plán návratu do původního stavu, záznam nouzové změny |
Zenith Controls popisuje 5.21 jako preventivní opatření podporující důvěrnost, integritu a dostupnost, přičemž bezpečnost vztahů s dodavateli je klíčovou provozní schopností. To odpovídá CI/CD, protože moderní pipeline závisí na externích službách: platformách pro správu zdrojového kódu, hostovaných runnerech, registrech kontejnerů, open-source repozitářích balíčků, akcích GitHub třetích stran, skenovacích nástrojích, cloudových API pro nasazení a outsourcovaných vývojářích.
V mapování 5.21 propojuje Zenith Controls zabezpečení dodavatelského řetězce ICT s 5.19 Bezpečnost informací ve vztazích s dodavateli, 5.20 řešení bezpečnosti informací ve smlouvách s dodavateli, 8.27 Bezpečná architektura a inženýrské principy systémů, 8.28 Bezpečné kódování, 8.29 Bezpečnostní testování ve vývoji a akceptaci, 5.15 řízení přístupu, 5.28 Sběr důkazů, 8.25 bezpečný životní cyklus vývoje softwaru a 8.30 outsourcovaný vývoj.
U 8.25 Zenith Controls identifikuje bezpečný životní cyklus vývoje softwaru jako preventivní opatření chránící důvěrnost, integritu a dostupnost. Propojuje bezpečnostní požadavky, architekturu, kódování, testování, outsourcovaný vývoj a 8.31 oddělení vývojového, testovacího a produkčního prostředí.
U 8.32 Zenith Controls vymezuje řízení změn jako most mezi vývojem a provozem. Vztahuje jej k 8.9 řízení konfigurace, 8.8 řízení technických zranitelností, bezpečnému SDLC a reakci na incidenty. Proto automatizace nasazení nemůže stát mimo řízení změn. Je mechanismem, kterým dochází k produkčním změnám.
Původ buildu: příběh vydání, který auditoři dokážou sledovat
Původ buildu je schopnost doloženě odpovědět, odkud softwarový artefakt pochází a jak byl vytvořen. Silný záznam o původu vypráví příběh vydání:
- Který zdrojový repozitář a commit byly použity.
- Která větev nebo tag spustily build.
- Který pull request, přezkoumávající osoba a schválení byly propojeny.
- Která definice pipeline byla spuštěna.
- Který runner provedl úlohu.
- Které závislosti a základní image byly použity.
- Které testy a bezpečnostní brány proběhly.
- Který artefakt byl vytvořen.
- Který podpis nebo hash byl vygenerován.
- Které nasazení artefakt použilo.
P05 Politika řízení změn Politika řízení změn poskytuje vazbu na správu a řízení. Stanoví:
„Změny prováděné nástroji musí i nadále dodržovat tuto politiku a být dohledatelné k odpovídajícímu ID požadavku na změnu.“
Tím řeší běžný argument, že automatizovaná nasazení nepotřebují tikety změn. Automatizace neodstraňuje řízení změn. Mění způsob, jakým jsou vytvářeny důkazy.
Stejná politika stanoví:
„Všechny požadavky na změnu, přezkumy, schválení a podpůrné důkazy musí být zaznamenány v centralizovaném systému řízení změn.“
V praxi má být systém řízení změn indexem, nikoli odkladištěm. Tiket má odkazovat na zdrojový repozitář, běh buildu, podpis artefaktu, log nasazení a plán návratu do původního stavu. Podrobné důkazy mohou zůstat ve vývojových nástrojích, pokud jsou definovány uchovávání, řízení přístupu a exportovatelnost.
| Kontrolní otázka | Důkazy k uchování | Vlastník |
|---|---|---|
| Byl zdroj schválen? | Schválení pull requestu, nastavení ochrany větví, identita přezkoumávající osoby | Vedoucí vývoje |
| Byl build řízen? | ID běhu buildu, ID runneru, verze definice pipeline, logy úlohy | DevOps |
| Byl artefakt dohledatelný? | Hash artefaktu, podpis, reference na zdrojový commit, metadata registru | Platformní tým |
| Proběhly bezpečnostní brány? | Výsledky skenů SAST, SCA, kontejnerů, DAST a IaC, schválení výjimek | Bezpečnost |
| Bylo nasazení autorizováno? | ID požadavku na změnu, schvalovatel, okno nasazení, plán návratu do původního stavu | Manažer změn |
| Lze důkazy uchovat? | Exportované logy, snímky obrazovky, hashe, záznam řetězce předání důkazů | Bezpečnost nebo compliance |
Zodolnění runnerů: přehlížené produkční opatření
Runnery CI/CD jsou často považovány za jednorázovou infrastrukturu, ale jde o vysoce riziková prostředí pro spouštění úloh. Runner může přistupovat ke zdrojovému kódu, tajným údajům, build cache, repozitářům balíčků, podpisovým klíčům, registrům artefaktů a rolím pro cloudové nasazení. Pokud je perzistentní, sdílený, nadměrně oprávněný nebo nedostatečně monitorovaný, stává se privilegovaným bodem pro laterální pohyb.
Bezpečnostní stanovisko správy a řízení je jednoduché: runnery, které sestavují nebo nasazují produkční kód, musí být zodolněny stejně jako produkční infrastruktura.
| Oblast zodolnění runnerů | Očekávané opatření | Auditní důkazy |
|---|---|---|
| Izolace | Používat dočasné runnery pro citlivé buildy a vyhnout se sdílení napříč hranicemi důvěry | Logy životního cyklu runneru, nastavení skupin runnerů |
| Zabezpečení přihlašovacích údajů | Používat krátkodobé přihlašovací údaje a identitu pracovní zátěže namísto dlouhodobých tajných údajů | Konfigurace identity, nastavení vypršení tokenů, logy rotace tajných údajů |
| Zásada nejnižších oprávnění | Oddělit role pro build, testování, podepisování a nasazení | Definice rolí, přezkum přístupových práv, exporty oprávnění |
| Řízení sítě | Omezit odchozí přístup a blokovat zbytečnou konektivitu do produkce | Pravidla firewallu, exporty síťových politik, logy odchozího provozu |
| Integrita výchozího stavu | Záplatovat image runnerů a zaznamenávat schválené verze | Evidence imagů, reporty záplat, digesty build imagů |
| Ochrana cache | Zabránit kontaminaci mezi projekty prostřednictvím build cache | Politika cache, nastavení izolace projektů |
| Monitorování | Protokolovat administrátorské akce, změny konfigurace a anomálie úloh | Auditní logy CI/CD, události SIEM, záznamy upozornění |
Politika testovacích dat a testovacích prostředí Politika testovacích dat a testovacích prostředí stanoví:
„Integrace s pipeline CI/CD musí vynucovat oddělení prostředí a autentizačních údajů.“
Runner, který může nasazovat do stagingu i produkce se stejným modelem přihlašovacích údajů, porušuje smysl oddělení prostředí, i když je infrastruktura logicky oddělena. Clarysec obvykle doporučuje samostatné identity pro nasazení v každém prostředí, samostatné schvalovací brány pro produkci a explicitní opatření bránící úlohám z nižších prostředí v přístupu k produkčním tajným údajům.
Zenith Blueprint, fáze Controls in Action, krok 21, to posiluje prostřednictvím oddělení vývojového, testovacího a produkčního prostředí:
„Pokud se používá CI/CD, ověřte, že povýšení nasazení mezi prostředími je řízené a vyžaduje přezkum nebo schválení. Zdokumentujte to ve svém Postupu správy prostředí a pořiďte snímky obrazovky nebo exporty z konzole jako podpůrné důkazy.“
Při skutečném auditu to znamená, že auditor nemá vidět pouze diagram. Má vidět exporty z konzole, které dokládají přihlašovací údaje specifické pro prostředí, chráněná prostředí nasazení, schvalovací brány a logy prokazující, že povýšení bylo řízené.
Důkazy o nasazení: artefakt compliance skrytý na očích
Nejvyspělejší týmy DevSecOps nepovažují sběr důkazů za čtvrtletní improvizaci. Navrhují pipeline tak, aby důkazy generovaly automaticky.
Politika protokolování a monitorování pro SME Politika protokolování a monitorování pro SME identifikuje relevantní logované události jako:
„Systémové logy: změny konfigurace, administrátorské akce, instalace softwaru, činnosti záplatování“
Systémy CI/CD vytvářejí všechny čtyři kategorie. Změny konfigurace pipeline ovlivňují, jak se software sestavuje. Administrátorské akce mění, kdo může schvalovat nebo nasazovat. Instalace softwaru probíhají v build imagech a cílech nasazení. Činnosti záplatování mohou proudit automatizovanými procesy vydání. Tyto události musí být protokolovány, uchovávány a přezkoumávány podle rizika.
Pro připravenost na vyšetřování stanoví P31S Politika sběru důkazů a forenzního šetření pro SME Politika sběru důkazů a forenzního šetření pro SME:
„Snímky obrazovky, exportované logy a hashe souborů musí být uloženy společně se souborem řetězce předání důkazů.“
To je obzvlášť důležité po podezření na kompromitaci pipeline. Samotné snímky obrazovky jsou slabým důkazem. Logy bez hashů mohou být zpochybněny. Soubor řetězce předání důkazů bez odkazů na zdroj je neúplný.
Obhajitelný záznam produkčního nasazení má obsahovat následující položky.
| Položka důkazů | Minimální obsah | Primární zdroj | Hodnota pro compliance |
|---|---|---|---|
| Požadavek na změnu | Obchodní potřeba, úroveň rizika, schválení, ID změny, plán návratu do původního stavu | JIRA, ServiceNow, Git issue | ISO 27002 8.32, DORA Article 9 |
| Zdrojový záznam | Repozitář, commit, větev, schválení pull requestů | Git, GitHub, GitLab, Azure DevOps | ISO 27002 8.25, NIS2 Article 21 |
| Záznam buildu | ID pipeline, ID runneru, build logy, údaje o závislostech | Platforma CI/CD | ISO 27002 8.25, důkazy dodavatelského řetězce ICT |
| Atestace původu buildu | Podepsaný záznam vstupů buildu, prostředí a procesu | Nástroj CI/CD, workflow podporující SLSA | ISO 27002 5.21, podpora CRA Annex I |
| Záznam bezpečnostní brány | Výsledky skenů SAST, SCA, DAST, kontejnerů a IaC | Bezpečnostní nástroje, logy pipeline | ISO 27002 8.29, DORA Article 9 |
| Záznam artefaktu | Hash, podpis, cesta v registru, neměnný digest | Registr artefaktů | ISO 27002 8.25, důkazy bezpečné aktualizace podle CRA |
| Záznam nasazení | Prostředí, aktér, časové razítko, schválení produkce | GitOps, platforma nasazení | ISO 27002 8.32, DORA Article 10 |
| Záznam monitorování | Kontroly stavu a anomálií po nasazení | SIEM, observability platforma | Očekávání DORA na detekci a reakci |
| Uchování důkazů | Exportované logy, snímky obrazovky, hashe, záznam předání důkazů | Repozitář důkazů | ISO 27002 5.28, vyšetřování incidentu |
Tento balíček převádí CI/CD ze série technických kroků na příběh správy, kontrol a náležité péče.
Mapování správy CI/CD na NIS2, DORA, GDPR a CRA
NIS2 se vztahuje na řadu základních a důležitých subjektů, včetně digitální infrastruktury, řízení služeb ICT a organizací poskytujících digitální služby, pokud splňují příslušná kritéria. Article 20 je obzvlášť relevantní, protože zavádí povinnosti kybernetické bezpečnosti na úrovni vedení. Řídicí orgány musí schvalovat opatření řízení kybernetických rizik, dohlížet na jejich implementaci a absolvovat školení.
Article 21 poskytuje základní rámec řízení rizik. Vyžaduje vhodná a přiměřená technická, provozní a organizační opatření pokrývající analýzu rizik, politiky, zvládání incidentů, kontinuitu činností, zabezpečení dodavatelského řetězce, bezpečné pořizování, vývoj a údržbu, zvládání zranitelností, posuzování účinnosti, kybernetickou hygienu, kryptografii, bezpečnost HR, řízení přístupu, správu aktiv a MFA tam, kde je to vhodné.
| Téma NIS2 Article 21 | Výklad pro správu CI/CD |
|---|---|
| Analýza rizik a politiky | Modelování hrozeb pipeline, politika bezpečného vývoje, posouzení rizik runnerů |
| Zvládání incidentů | Playbook kompromitace pipeline, revokace artefaktů, řízení nouzového vydání |
| Kontinuita činností | Obnova správy zdrojového kódu, registru artefaktů a automatizace nasazení |
| Zabezpečení dodavatelského řetězce | Akce třetích stran, balíčky, outsourcovaný vývoj, závislosti registrů |
| Bezpečný vývoj a údržba | Bezpečný SDLC, přezkum kódu, testování, zvládání zranitelností |
| Posouzení účinnosti | Testování opatření pipeline, auditní vzorkování, metriky a výjimky |
| Řízení přístupu a MFA | Repozitář, administrace CI/CD, registrace runnerů, role produkčního nasazení |
| Kryptografie | Podepisování artefaktů, ochrana tajných údajů, správa klíčů |
Article 23 doplňuje odstupňované hlášení významných incidentů, včetně včasného varování do 24 hodin od zjištění, oznámení incidentu do 72 hodin a závěrečné zprávy nejpozději do jednoho měsíce od oznámení incidentu. Pokud by kompromitace CI/CD mohla způsobit závažné provozní narušení, finanční ztrátu nebo podstatnou škodu jiným subjektům, proces klasifikace incidentů musí být připraven před incidentem.
Pro finanční subjekty se DORA použije od 17. ledna 2025 a pokrývá řízení rizik v oblasti ICT, hlášení incidentů, testování odolnosti, sdílení informací, řízení rizik třetích stran v oblasti ICT a smluvní požadavky. Article 5 vyžaduje interní rámec správy a řízení a kontrol pro rizika ICT s odpovědností řídicího orgánu. Article 6 vyžaduje dokumentovaný rámec řízení rizik v oblasti ICT integrovaný do celkového řízení rizik.
Articles 8 to 14 se přímo mapují na správu a řízení pipeline CI/CD. Finanční subjekty musí identifikovat a klasifikovat podnikové funkce podporované ICT, aktiva, závislosti, hrozby a zranitelnosti. Musí chránit systémy ICT prostřednictvím politik, řízení přístupu, silné autentizace, ochrany kryptografických klíčů, řízeného řízení změn v ICT, záplatování a segmentace. Musí detekovat anomálie, reagovat, obnovovat a poučit se z incidentů.
Articles 28 to 30 jsou stejně důležité, protože platformy CI/CD, poskytovatelé správy zdrojového kódu, registry artefaktů, cloudové build systémy a outsourcovaní vývojáři mohou být závislostmi na třetích stranách v oblasti ICT. DORA očekává náležitou péči, smluvní ochranná opatření, posouzení rizika koncentrace, práva na audit a inspekci, spouštěče ukončení, výstupní strategie a ustanovení o úrovni služeb.
GDPR přidává pohled odpovědnosti. Article 5 vyžaduje, aby osobní údaje byly zpracovávány zákonně, korektně, transparentně, pro stanovené účely, v minimálním rozsahu, přesně, uchovávány pouze po nezbytnou dobu a chráněny proti neoprávněnému nebo protiprávnímu zpracování a náhodné ztrátě, zničení nebo poškození. Article 5(2) vyžaduje, aby správce doložil soulad.
Pipeline CI/CD jsou pro GDPR důležité, protože vývojáři mohou používat produkční data v testovacích prostředích, logy pipeline mohou vystavit osobní údaje nebo tokeny, vydání mohou měnit logiku zpracování a kompromitované artefakty mohou způsobit porušení zabezpečení osobních údajů. Pokud změny softwaru ovlivňují opatření ochrany soukromí, záznam změny má zachytit dopad na soukromí. Pokud incident pipeline způsobí neoprávněný přístup k osobním údajům, posouzení porušení zabezpečení musí být propojeno se zvládáním incidentů.
Očekávání CRA doplňují bezpečnost produktů a důkazy o bezpečných aktualizacích. U výrobců a poskytovatelů softwaru uvádějících na trh EU produkty s digitálními prvky zákazníci stále častěji očekávají dokumentaci bezpečnosti produktu, důkazy o zvládání zranitelností, opatření bezpečných aktualizací a integritu vydání. Správa CI/CD dodává velkou část těchto důkazů prostřednictvím dohledatelnosti zdroje, podepsaných artefaktů, výsledků skenů zranitelností, poznámek k vydání, bezpečnostních oprav a záznamů o distribuci aktualizací.
NIST CSF 2.0 a COBIT 2019: auditní pohled nad rámec ISO
NIST CSF 2.0 poskytuje integrační vrstvu pro správu a řízení kybernetické bezpečnosti. Jeho Core, Organizational Profiles a Tiers pomáhají organizacím porozumět současnému a cílovému stavu, prioritizovat kroky sladěné s právními a regulačními požadavky a komunikovat kybernetická rizika.
Pro CI/CD Clarysec často vytváří profil Software Delivery Pipeline Profile. Current Profile zachycuje, jak dnes funguje správa zdrojového kódu, runnery, podepisování artefaktů a schvalování nasazení. Target Profile definuje požadovaný stav pro regulovaný provoz. Plán mezer se stává implementační roadmapou.
Funkce NIST GOVERN je obzvlášť relevantní. GV.OC-03 vyžaduje, aby právní, regulační a smluvní požadavky na kybernetickou bezpečnost byly pochopeny a řízeny. GV.RM pokrývá apetit k riziku a standardizovanou prioritizaci rizik. GV.RR přiřazuje odpovědnost vedení, role a zdroje. GV.PO vyžaduje, aby politiky řízení rizik kybernetické bezpečnosti byly stanoveny, prosazovány, přezkoumávány a aktualizovány. GV.OV pokrývá dohled a hodnocení výkonnosti.
Auditor ve stylu COBIT 2019 nebo ISACA se často zaměří méně na kryptografický detail podepisování artefaktů a více na návrh správy a řízení. Bude se ptát, zda je definováno vlastnictví, zda je řízeno umožňování změn, zda jsou služby třetích stran řízeny podle rizik, zda monitorování poskytuje ujištění, zda jsou výjimky schvalovány a zda vedení dostává smysluplné reporty.
| Auditní pohled | Pravděpodobná auditní otázka | Důkazy, které na ni odpovídají |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Je CI/CD zahrnuto do rozsahu ISMS, posouzení rizik, Prohlášení o použitelnosti a provozních opatření? | Rozsah ISMS, registr rizik, mapování SoA, ustanovení politik, vzorky nasazení |
| Přezkoumávající osoba opatření ISO/IEC 27002:2022 | Jsou implementovány bezpečný SDLC, oddělení prostředí, řízení přístupu, řízení změn a sběr důkazů? | Ochrana větví, přihlašovací údaje prostředí, schválení, podpisy artefaktů, logy |
| Posuzovatel NIS2 | Schválilo vedení přiměřená opatření pro bezpečný vývoj, dodavatelský řetězec, řízení přístupu, zvládání incidentů a odolnost? | Zápisy z jednání řídicích orgánů, plán ošetření rizik, mapování Article 21, incidentní playbook, záznamy dodavatelů |
| Auditor DORA | Podporuje pipeline řízení rizik ICT, řízené změny, monitorování, testování, hlášení incidentů a správu třetích stran ICT? | Evidence aktiv ICT, záznamy změn, logy detekce, klasifikace incidentů, registr poskytovatelů |
| Přezkoumávající osoba GDPR | Dokáže organizace doložit zabezpečení a odpovědnost u vydání ovlivňujících osobní údaje? | Poznámky k přezkumu ochrany soukromí, opatření testovacích dat, logy přístupu, workflow posouzení porušení zabezpečení |
| Posuzovatel NIST CSF 2.0 | Jaký je současný a cílový bezpečnostní stav pipeline a prioritizovaný plán zlepšení? | Profil CSF, analýza mezer, POA&M, metriky, záznamy o přijetí rizika |
| Auditor COBIT 2019 nebo ISACA | Jsou definovány role, odpovědnosti, procesní kontroly, ukazatele výkonnosti a činnosti zajištění? | RACI, seznam vlastníků kontrol, reporty KPI a KRI, výsledky interního auditu, registr výjimek |
Běžná zjištění auditů CI/CD a metriky pro řídicí orgány
Většina zjištění auditů CI/CD je předvídatelná. Prvním jsou nepropojené důkazy. Tým má logy Git, logy pipeline a logy nasazení, ale žádný jednotný záznam změny je nepropojuje. Druhým je automatizace s nadměrnými oprávněními, kdy jedna úloha může číst produkční tajné údaje, odesílat artefakty, schvalovat nasazení a měnit definice pipeline. Třetím jsou perzistentní sdílené runnery, které vytvářejí riziko kontaminace mezi projekty a ztěžují forenzní vymezení rozsahu po kompromitaci.
Mezi další běžná selhání patří nepodepsané nebo přepsané artefakty, neformální obcházení skenů, nedostatečný přehled o dodavatelích a úniky údajů o soukromí v logách. Dobrá pipeline umožňuje výjimky, ale vyžaduje schválení, dobu platnosti, vlastnictví rizika a přezkum.
Bezpečnostní manažeři by se měli vyhnout tomu, aby řídicím orgánům reportovali pouze počty skenerů. Místo toho mají reportovat metriky důvěry ve vydání:
- Procento produkčních nasazení propojených se schválenými záznamy změn.
- Procento produkčních artefaktů podepsaných a dohledatelných ke zdrojovým commitům.
- Počet nasazení využívajících výjimky nebo nouzová schválení.
- Procento privilegovaných uživatelů CI/CD s MFA a nedávným přezkumem přístupových práv.
- Počet aktivních dlouhodobých přihlašovacích údajů pro nasazení.
- Procento kritických služeb používajících zodolněné nebo dočasné runnery.
- Průměrná doba revokace nebo rotace tajných údajů pipeline po incidentu.
- Počet kritických závislostí na dodavatelích podporujících dodávku softwaru.
- Míra úplnosti důkazů u vydání vybraných auditním vzorkováním.
Tyto metriky podporují vedení, plánování a provozní řízení podle ISO/IEC 27001:2022. Podporují také dohled vedení podle NIS2 Article 20 a očekávání správy a řízení podle DORA.
Udělejte svou pipeline auditovatelnou před incidentem
Správa a řízení bezpečnosti pipeline CI/CD v roce 2026 není o zpomalování vývoje. Jde o to, aby dodávka softwaru byla důvěryhodná, odolná a prokazatelná. Nejlepší programy používají automatizaci ke zrychlení tvorby důkazů, nikoli k obcházení správy a řízení.
Praktická implementace Clarysec začíná třemi kroky.
- Použijte Zenith Blueprint Zenith Blueprint k zařazení secure DevOps, přístupu ke zdrojovému kódu, oddělení prostředí a řízení změn do implementační roadmapy ISO/IEC 27001:2022.
- Použijte Zenith Controls Zenith Controls k mapování rizik CI/CD napříč bezpečným SDLC, dodavatelským řetězcem ICT, řízením přístupu, řízením změn, sběrem důkazů, NIS2, DORA, GDPR, NIST CSF 2.0 a auditními pohledy COBIT 2019.
- Nasaďte šablony politik Clarysec, včetně Politiky bezpečného vývoje, Politiky řízení změn, Politiky testovacích dat a testovacích prostředí, Politiky bezpečného vývoje pro SME, Politiky protokolování a monitorování pro SME a Politiky sběru důkazů a forenzního šetření pro SME, abyste definovali, kdo schvaluje vydání, jak jsou artefakty dohledatelné, jak jsou runnery řízeny a jaké důkazy musí být uchovávány.
Pokud váš další auditní vzorek začne požadavkem „ukažte nám stopu produkčního vydání“, váš tým musí být schopen odpovědět během minut, nikoli týdnů. To je rozdíl mezi automatizací DevOps a řízenou dodávkou softwaru.
Stáhněte si sadu politik Clarysec, posuďte svou pipeline CI/CD vůči Zenith Blueprint a Zenith Controls, nebo si objednejte posouzení Clarysec, které promění vaši pipeline ze zdroje auditní nejistoty v základní pilíř digitální odolnosti.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
