Governance della sicurezza delle pipeline CI/CD per gli audit 2026
Sono le 08:17 di un lunedì mattina e il CISO di una fintech in crescita riceve il messaggio che ogni responsabile della sicurezza teme:
“La build di produzione sembra pulita, ma l’hash dell’artefatto non corrisponde al commit sorgente.”
In pochi minuti, il team di ingegneria conferma che il rilascio ha superato i test unitari, che il ticket di deployment esiste e che il servizio esposto ai clienti è stabile. Ma la pipeline racconta un’altra storia. Un runner CI self-hosted è stato riutilizzato tra più progetti. Una credenziale cloud temporanea è rimasta attiva più a lungo del previsto. Il registro degli artefatti mostra un’immagine container firmata, ma la chiave di firma era accessibile dallo stesso runner che ha eseguito script di build non attendibili.
Il responsabile dei rilasci può dimostrare che qualcosa è stato distribuito. Ciò che l’organizzazione non riesce a dimostrare, almeno non abbastanza rapidamente, è che cosa sia stato creato, chi lo abbia approvato, se l’ambiente di build fosse pulito e se le evidenze reggerebbero un audit o un’indagine su un incidente.
Questo non è più soltanto un problema DevOps.
Nel 2026, la governance della sicurezza delle pipeline CI/CD si colloca all’intersezione tra sicurezza della catena di fornitura software, resilienza operativa, responsabilizzazione privacy, sicurezza del prodotto e supervisione del rischio cyber a livello di consiglio di amministrazione. NIS2 spinge gli organi di gestione ad approvare e supervisionare le misure di gestione del rischio di cibersicurezza. DORA richiede agli enti finanziari di governare il rischio ICT, gli incidenti, i test e le dipendenze da terze parti. GDPR richiede a titolari e responsabili del trattamento di dimostrare sicurezza adeguata e accountability per i dati personali. Il Cyber Resilience Act innalza le aspettative di mercato per prodotti sicuri con elementi digitali, aggiornamenti sicuri e gestione delle vulnerabilità. ISO/IEC 27001:2022 richiede un SGSI che trasformi il trattamento del rischio in operazioni controllate e supportate da evidenze.
La pipeline è diventata la traccia di audit della fiducia nel software moderno.
La nuova domanda di conformità: potete dimostrare che cosa è arrivato in produzione?
Per anni, i programmi DevSecOps si sono concentrati sull’aggiunta di scanner alle pipeline. Analisi statica, controlli delle dipendenze, scansione dei segreti, scansione dei container e validazione dell’infrastructure-as-code sono diventati comuni. Questi controlli restano importanti, ma non rispondono alla domanda di governance che auditor, autorità di regolamentazione, clienti e consigli di amministrazione pongono oggi:
L’organizzazione può dimostrare che ogni deployment in produzione deriva da codice sorgente approvato, è stato generato in un ambiente controllato, ha prodotto un artefatto verificabile, ha superato i gate di sicurezza richiesti, ha utilizzato credenziali approvate, ha seguito la gestione delle modifiche e ha generato evidenze conservabili?
Gli attaccanti sanno che sistemi di build, dipendenze dei pacchetti, token degli sviluppatori, runner CI, automazione dei rilasci, registri degli artefatti e ruoli di deployment cloud sono obiettivi di alto valore. Una pipeline compromessa può eludere le difese tradizionali perché utilizza automazione attendibile per introdurre codice malevolo in ambienti attendibili.
Un modello maturo di governance della sicurezza delle pipeline CI/CD richiede quindi sei pilastri di evidenza.
| Pilastro di evidenza | Che cosa dimostra | Evidenze tipiche |
|---|---|---|
| Integrità del codice sorgente | L’artefatto distribuito deriva da codice sorgente approvato | ID del commit, protezione dei branch, approvazioni delle pull request, commit firmati, log di audit del repository |
| Provenienza delle build | L’artefatto è stato prodotto da una pipeline nota in condizioni controllate | ID della build, identità del runner, ricetta di build, manifesto delle dipendenze, hash dell’artefatto, registrazione della firma |
| Hardening dei runner | L’ambiente di esecuzione non poteva essere facilmente riutilizzato o manomesso | Log dei runner effimeri, immagine di riferimento, stato delle patch, controlli di isolamento, restrizioni di rete |
| Integrità degli artefatti | Il pacchetto di rilascio non è stato alterato dopo la build | Firma, checksum, log del registro, registrazione della promozione, policy di tag immutabili |
| Governance del deployment | La modifica è stata autorizzata, testata e resa tracciabile | ID della richiesta di modifica, evidenza dell’approvazione, log di promozione tra ambienti, piano di rollback |
| Preparazione forense | Le evidenze possono essere conservate durante un audit o una risposta agli incidenti | Log esportati, screenshot, hash dei file, registrazione della catena di custodia |
È qui che l’approccio di Clarysec si distingue dalla conformità basata su checklist. Trattiamo la piattaforma CI/CD come un processo aziendale governato, non solo come uno strumento tecnico. Tale processo deve essere incluso nel campo di applicazione del SGSI, sottoposto a valutazione del rischio, controllato, monitorato, auditato e migliorato.
Inserire CI/CD nel SGSI ISO/IEC 27001:2022
ISO/IEC 27001:2022 parte dal contesto, dalle parti interessate e dal campo di applicazione. Le clausole da 4.1 a 4.4 richiedono alle organizzazioni di comprendere i fattori interni ed esterni, determinare i requisiti delle parti interessate, identificare i requisiti legali, normativi e contrattuali, e definire il campo di applicazione del SGSI considerando le dipendenze da altre organizzazioni.
Per un fornitore SaaS, una fintech, un fornitore di servizi gestiti, un fornitore software o un’organizzazione nativa cloud, CI/CD rientra quasi sempre in tale ambito perché incide direttamente sull’erogazione del servizio, sui dati dei clienti, sull’infrastruttura di produzione e sugli impegni contrattuali.
Le clausole da 5.1 a 5.3 rendono la leadership responsabile del SGSI. Questo è rilevante perché l’automazione moderna dei rilasci si colloca tra ingegneria, sicurezza, operazioni cloud, procurement, conformità e gestione del prodotto. Se nessun dirigente è titolare della propensione al rischio per l’automazione dei deployment in produzione, l’organizzazione finisce di norma con strumenti frammentati ed evidenze incoerenti.
Le clausole da 6.1.1 a 6.1.3 forniscono l’ossatura della pianificazione. L’organizzazione deve valutare i rischi per riservatezza, integrità e disponibilità, identificare i titolari del rischio, confrontare i rischi rispetto ai criteri, selezionare i trattamenti, confrontare i controlli selezionati con l’Annex A, produrre una Dichiarazione di Applicabilità e ottenere l’approvazione del piano di trattamento e del rischio residuo.
Una valutazione del rischio CI/CD non dovrebbe limitarsi a indicare “rischio della catena di fornitura software”. Deve descrivere scenari realistici:
- Uno script di build malevolo esfiltra chiavi di firma da un runner condiviso.
- Uno sviluppatore elude la protezione dei branch e distribuisce codice non riesaminato.
- Un’azione di terze parti compromessa modifica un artefatto durante la build.
- Una credenziale di staging concede accesso all’ambiente di produzione.
- Un deployment avviene senza una richiesta di modifica collegata.
- I log della pipeline necessari per la ricostruzione dell’incidente vengono sovrascritti dopo sette giorni.
- Un incidente di dependency poisoning raggiunge la pre-produzione o la produzione.
La clausola 8.1 richiede quindi il funzionamento pianificato e controllato dei processi del SGSI, evidenze documentate, controllo delle modifiche pianificate, riesame delle modifiche non previste e controllo di processi, prodotti o servizi forniti esternamente e rilevanti per il SGSI. Se la pipeline modifica la produzione, deve produrre evidenze del funzionamento controllato.
Il modello di controllo Clarysec per il rilascio sicuro del software
Clarysec collega politiche, controlli ed evidenze di audit. Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint colloca DevOps sicuro e sviluppo sicuro nella fase di gestione del rischio, Step 14. Stabilisce che le organizzazioni devono proteggere gli strumenti CI/CD, assicurare che solo personale autorizzato possa avviare deployment, utilizzare MFA per l’accesso alla pipeline, proteggere l’integrità degli artefatti di build, e registrare e monitorare le azioni CI/CD.
“Controlli della pipeline DevOps: gli strumenti CI/CD devono essere protetti: solo personale autorizzato può avviare deployment; utilizzare MFA per l’accesso alla pipeline; proteggere l’integrità degli artefatti di build. Registrare e monitorare le azioni CI/CD.”
Queste indicazioni diventano operative quando vengono tradotte in clausole di policy e requisiti di evidenza.
La P24 Politica di sviluppo sicuro Politica di sviluppo sicuro stabilisce:
“Gli artefatti di build devono essere firmati e tracciabili fino ai commit sorgente.”
È uno dei controlli più robusti in un programma di governance CI/CD. Indica all’ingegneria che un artefatto di produzione deve avere una lineage verificabile fino al controllo del codice sorgente. Indica inoltre agli auditor che cosa testare: selezionare un rilascio in produzione, ispezionare la firma dell’artefatto, validare il riferimento al commit, riesaminare l’approvazione della pull request e confermare la registrazione della build nella pipeline.
La stessa politica stabilisce:
“Tutte le attività di sviluppo devono essere tracciate tramite sistemi di controllo versione approvati, con controlli di accesso applicati, tracce di audit e protezioni dei branch.”
Questo sposta la governance a monte. Se i repository sorgente non sono protetti, la provenienza delle build è debole. Se le protezioni dei branch possono essere eluse, la pipeline può generare fedelmente codice non approvato. Se le tracce di audit sono disabilitate, la ricostruzione degli incidenti dipende da memoria e screenshot anziché da evidenze.
Per le organizzazioni più piccole, la Politica di sviluppo sicuro-sme Politica di sviluppo sicuro-sme - PMI include un requisito minimo pragmatico:
“Tracciamento della versione del codice, della data di deployment e dell’approvatore”
Questo semplice registro dei deployment è un solido punto di partenza. Molte PMI non hanno bisogno di una governance dei rilasci pesante dal primo giorno, ma devono sapere quale versione è stata messa in esercizio, quando e chi l’ha approvata.
La politica per PMI stabilisce inoltre:
“L’accesso agli strumenti o ai sistemi di deployment in produzione deve essere controllato, registrato e riesaminato periodicamente dal direttore generale o dal fornitore IT.”
Questo è il passaggio di governance che molti team più piccoli trascurano. Una piattaforma CI/CD con credenziali cloud di produzione è un percorso di accesso privilegiato alla produzione.
Tre aree di controllo ISO/IEC 27002:2022 alla base di CI/CD sicuro
Zenith Controls: The Cross-Compliance Guide Zenith Controls è la bussola cross-compliance di Clarysec per mappare standard e framework ufficiali in relazioni di controllo pratiche. Per la governance della sicurezza delle pipeline CI/CD, tre aree di controllo ISO/IEC 27002:2022 sono centrali.
| Controllo ISO/IEC 27002:2022 | Ruolo nella governance CI/CD | Controlli ed evidenze correlati |
|---|---|---|
| 5.21 Gestione della sicurezza delle informazioni nella catena di fornitura ICT | Governa piattaforme CI/CD, azioni di terze parti, repository di pacchetti, servizi cloud di build, registri e sviluppo esternalizzato | Due diligence sui fornitori, requisiti contrattuali di sicurezza, log del provider, inventari delle dipendenze |
| 8.25 Ciclo di vita sicuro dello sviluppo | Integra la sicurezza in requisiti, progettazione, codifica, build, test e rilascio | Architettura sicura, programmazione sicura, test di sicurezza, firma degli artefatti, evidenze di rilascio |
| 8.32 Gestione delle modifiche | Assicura che i deployment siano intenzionali, giustificati, approvati e auditabili | ID della richiesta di modifica, approvazione, log di deployment, piano di rollback, registrazione della modifica di emergenza |
Zenith Controls descrive 5.21 come controllo preventivo a supporto di riservatezza, integrità e disponibilità, con la sicurezza dei rapporti con i fornitori come capacità operativa chiave. Questo si adatta a CI/CD perché le pipeline moderne dipendono da servizi esterni: piattaforme di controllo del codice sorgente, runner ospitati, registri di container, repository di pacchetti open source, azioni GitHub di terze parti, strumenti di scansione, API di deployment cloud e sviluppatori esterni.
Nella mappatura di 5.21, Zenith Controls collega la sicurezza della catena di fornitura ICT a 5.19 Sicurezza delle informazioni nei rapporti con i fornitori, 5.20 Gestione della sicurezza delle informazioni negli accordi con i fornitori, 8.27 Architettura sicura dei sistemi e principi di ingegneria, 8.28 Programmazione sicura, 8.29 Test di sicurezza nello sviluppo e nell’accettazione, 5.15 Controllo degli accessi, 5.28 Raccolta delle evidenze, 8.25 Ciclo di vita sicuro dello sviluppo e 8.30 Sviluppo esternalizzato.
Per 8.25, Zenith Controls identifica il ciclo di vita sicuro dello sviluppo come controllo preventivo che protegge riservatezza, integrità e disponibilità. Collega requisiti di sicurezza, architettura, codifica, test, sviluppo esternalizzato e 8.31 Separazione degli ambienti di sviluppo, test e produzione.
Per 8.32, Zenith Controls inquadra la gestione delle modifiche come il ponte tra sviluppo e operazioni. Si collega a 8.9 Gestione della configurazione, 8.8 Gestione delle vulnerabilità tecniche, SDLC sicuro e risposta agli incidenti. Per questo l’automazione dei deployment non può restare fuori dalla governance delle modifiche. È il meccanismo con cui avvengono le modifiche in produzione.
Provenienza delle build: la storia del rilascio che gli auditor possono seguire
La provenienza delle build è la capacità di rispondere, con evidenze, da dove proviene un artefatto software e come è stato prodotto. Una solida registrazione di provenienza racconta la storia di un rilascio:
- Quale repository sorgente e quale commit sono stati utilizzati.
- Quale branch o tag ha attivato la build.
- Quale pull request, revisore e approvazione erano collegati.
- Quale definizione di pipeline è stata eseguita.
- Quale runner ha eseguito il job.
- Quali dipendenze e immagini di base sono state utilizzate.
- Quali test e gate di sicurezza sono stati eseguiti.
- Quale artefatto è stato prodotto.
- Quale firma o hash è stato generato.
- Quale deployment ha consumato l’artefatto.
La P05 Politica di gestione dei cambiamenti Politica di gestione dei cambiamenti fornisce il collegamento di governance. Stabilisce:
“Le modifiche basate su strumenti devono comunque rispettare questa politica ed essere tracciabili rispetto a un corrispondente ID di richiesta di modifica.”
Questo risponde all’argomento comune secondo cui i deployment automatizzati non avrebbero bisogno di ticket di modifica. L’automazione non elimina la governance delle modifiche. Cambia il modo in cui le evidenze vengono generate.
La stessa politica stabilisce:
“Tutte le richieste di modifica, i riesami, le approvazioni e le evidenze di supporto devono essere registrati nel sistema centralizzato di gestione delle modifiche.”
In pratica, il sistema di gestione delle modifiche deve essere l’indice, non il contenitore indiscriminato. Il ticket deve puntare al repository sorgente, all’esecuzione della build, alla firma dell’artefatto, al log di deployment e al piano di rollback. Le evidenze dettagliate possono rimanere negli strumenti di ingegneria se conservazione, controllo degli accessi ed esportabilità sono definiti.
| Domanda di controllo | Evidenze da conservare | Responsabile |
|---|---|---|
| Il codice sorgente è stato approvato? | Approvazione della pull request, impostazioni di protezione dei branch, identità del revisore | Responsabile dell’ingegneria |
| La build è stata controllata? | ID dell’esecuzione della build, ID del runner, versione della definizione di pipeline, log dei job | DevOps |
| L’artefatto era tracciabile? | Hash dell’artefatto, firma, riferimento al commit sorgente, metadati del registro | Team di piattaforma |
| I gate di sicurezza sono stati eseguiti? | Risultati delle scansioni SAST, SCA, container, DAST e IaC, approvazioni delle eccezioni | Sicurezza |
| Il deployment è stato autorizzato? | ID della richiesta di modifica, approvatore, finestra di deployment, piano di rollback | Responsabile delle modifiche |
| Le evidenze possono essere conservate? | Log esportati, screenshot, hash, registrazione della catena di custodia | Sicurezza o conformità |
Hardening dei runner: il controllo di produzione sottovalutato
I runner CI/CD sono spesso trattati come infrastruttura usa e getta, ma sono ambienti di esecuzione ad alto rischio. Un runner può accedere a codice sorgente, segreti, cache di build, repository di pacchetti, chiavi di firma, registri degli artefatti e ruoli di deployment cloud. Se è persistente, condiviso, sovra-privilegiato o monitorato in modo insufficiente, diventa un punto di pivot privilegiato.
La posizione di governance sicura è semplice: i runner che generano o distribuiscono codice di produzione devono essere configurati in modo sicuro quanto l’infrastruttura di produzione.
| Area di hardening dei runner | Controllo atteso | Evidenza di audit |
|---|---|---|
| Isolamento | Utilizzare runner effimeri per build sensibili ed evitare la condivisione tra confini di fiducia | Log del ciclo di vita dei runner, impostazioni dei gruppi di runner |
| Sicurezza delle credenziali | Utilizzare credenziali a breve durata e identità del workload anziché segreti a lunga durata | Configurazione dell’identità, impostazioni di scadenza dei token, log di rotazione dei segreti |
| Principio del privilegio minimo | Separare ruoli di build, test, firma e deployment | Definizioni dei ruoli, riesame degli accessi, esportazioni delle autorizzazioni |
| Controllo della rete | Limitare l’accesso in uscita e bloccare connettività non necessaria verso la produzione | Regole del firewall, esportazioni delle policy di rete, log di egress |
| Integrità della baseline | Applicare patch alle immagini dei runner e registrare le versioni approvate | Inventario delle immagini, report delle patch, digest delle immagini di build |
| Protezione della cache | Prevenire contaminazioni tra progetti tramite cache di build | Policy della cache, impostazioni di isolamento dei progetti |
| Monitoraggio | Registrare azioni amministrative, modifiche di configurazione e anomalie dei job | Log di audit CI/CD, eventi SIEM, registrazioni degli alert |
La Politica sui dati di test e sugli ambienti di test Politica sui dati di test e sugli ambienti di test stabilisce:
“L’integrazione con le pipeline CI/CD deve imporre la separazione degli ambienti e delle credenziali di autenticazione.”
Un runner che può effettuare deployment in staging e in produzione con lo stesso modello di credenziali viola nella sostanza la separazione degli ambienti, anche se l’infrastruttura è logicamente separata. Clarysec raccomanda di norma identità di deployment distinte per ambiente, gate di approvazione separati per la produzione e controlli espliciti che impediscano ai job degli ambienti inferiori di accedere ai segreti di produzione.
Zenith Blueprint, fase Controls in Action, Step 21, rafforza questo punto attraverso la separazione degli ambienti di sviluppo, test e produzione:
“Se viene utilizzato CI/CD, confermare che la promozione dei deployment tra ambienti sia controllata e richieda riesame o approvazione. Documentarlo nella vostra Procedura di gestione degli ambienti e acquisire screenshot o esportazioni della console a supporto.”
Per un audit reale, ciò significa che l’auditor non dovrebbe vedere solo un diagramma. Dovrebbe vedere esportazioni della console che mostrano credenziali specifiche per ambiente, ambienti di deployment protetti, gate di approvazione e log che dimostrano che la promozione è stata controllata.
Evidenze di deployment: l’artefatto di conformità nascosto in piena vista
I team DevSecOps più maturi non trattano la raccolta delle evidenze come una corsa trimestrale. Progettano le pipeline in modo che generino evidenze automaticamente.
La Politica di registrazione e monitoraggio-sme Politica di registrazione e monitoraggio-sme - PMI identifica gli eventi di log rilevanti come:
“Log di sistema: modifiche di configurazione, azioni amministrative, installazioni software, attività di applicazione delle patch”
I sistemi CI/CD producono tutte e quattro le categorie. Le modifiche alla configurazione della pipeline incidono su come il software viene creato. Le azioni amministrative modificano chi può approvare o distribuire. Le installazioni software avvengono nelle immagini di build e nei target di deployment. Le attività di patching possono transitare attraverso processi di rilascio automatizzati. Questi eventi devono essere registrati, conservati e riesaminati in base al rischio.
Per la preparazione alle indagini, la P31S Politica per la raccolta delle evidenze e l’analisi forense-sme Politica per la raccolta delle evidenze e l’analisi forense-sme - PMI stabilisce:
“Screenshot, log esportati e hash dei file devono essere conservati insieme al file della catena di custodia.”
Questo è particolarmente importante dopo una sospetta compromissione della pipeline. Gli screenshot da soli sono evidenze deboli. I log senza hash possono essere contestati. Un file della catena di custodia senza riferimenti alla fonte è incompleto.
Una registrazione difendibile di un deployment in produzione deve includere quanto segue.
| Elemento di evidenza | Contenuto minimo | Fonte primaria | Valore ai fini della conformità |
|---|---|---|---|
| Richiesta di modifica | Esigenza aziendale, livello di rischio, approvazione, ID della modifica, piano di rollback | JIRA, ServiceNow, issue Git | ISO 27002 8.32, DORA Article 9 |
| Registrazione del codice sorgente | Repository, commit, branch, approvazioni delle pull request | Git, GitHub, GitLab, Azure DevOps | ISO 27002 8.25, NIS2 Article 21 |
| Registrazione della build | ID della pipeline, ID del runner, log di build, dati sulle dipendenze | Piattaforma CI/CD | ISO 27002 8.25, evidenze della catena di fornitura ICT |
| Attestazione della provenienza della build | Registrazione firmata degli input, dell’ambiente e del processo di build | Strumento CI/CD, workflow compatibile con SLSA | ISO 27002 5.21, supporto CRA Annex I |
| Registrazione dei gate di sicurezza | Risultati delle scansioni SAST, SCA, DAST, container e IaC | Strumenti di sicurezza, log della pipeline | ISO 27002 8.29, DORA Article 9 |
| Registrazione dell’artefatto | Hash, firma, percorso nel registro, digest immutabile | Registro degli artefatti | ISO 27002 8.25, evidenza CRA degli aggiornamenti sicuri |
| Registrazione del deployment | Ambiente, attore, marcatura temporale, approvazione alla produzione | GitOps, piattaforma di deployment | ISO 27002 8.32, DORA Article 10 |
| Registrazione del monitoraggio | Controlli di salute e anomalie post-deployment | SIEM, piattaforma di osservabilità | Aspettative DORA di rilevamento e risposta |
| Conservazione delle evidenze | Log esportati, screenshot, hash, registrazione della catena di custodia | Repository delle evidenze | ISO 27002 5.28, indagine sugli incidenti |
Questo pacchetto trasforma CI/CD da una sequenza di passaggi tecnici in una storia di governance, controllo e due diligence.
Mappare la governance CI/CD a NIS2, DORA, GDPR e CRA
NIS2 si applica a molte entità essenziali e importanti, incluse infrastrutture digitali, gestione dei servizi ICT e organizzazioni di fornitori digitali quando i criteri sono soddisfatti. Article 20 è particolarmente rilevante perché introduce responsabilità di cibersicurezza a livello di organo di gestione. Gli organi di gestione devono approvare le misure di gestione del rischio di cibersicurezza, supervisionarne l’attuazione e ricevere formazione.
Article 21 fornisce la baseline di gestione del rischio. Richiede misure tecniche, operative e organizzative adeguate e proporzionate che coprano analisi dei rischi, politiche, trattamento degli incidenti, continuità operativa, sicurezza della catena di fornitura, acquisizione, sviluppo e manutenzione sicuri, gestione delle vulnerabilità, valutazione dell’efficacia, igiene cyber, crittografia, sicurezza HR, controllo degli accessi, gestione degli asset e MFA ove appropriato.
| Tema di NIS2 Article 21 | Interpretazione per la governance CI/CD |
|---|---|
| Analisi dei rischi e politiche | Modellazione delle minacce della pipeline, politica di sviluppo sicuro, valutazione del rischio dei runner |
| Trattamento degli incidenti | Playbook di compromissione della pipeline, revoca degli artefatti, controllo dei rilasci di emergenza |
| Continuità operativa | Ripristino del controllo del codice sorgente, del registro degli artefatti e dell’automazione dei deployment |
| Sicurezza della catena di fornitura | Azioni di terze parti, pacchetti, sviluppo esternalizzato, dipendenze dei registri |
| Sviluppo e manutenzione sicuri | SDLC sicuro, revisione del codice, test, gestione delle vulnerabilità |
| Valutazione dell’efficacia | Test dei controlli della pipeline, campionamento di audit, metriche ed eccezioni |
| Controllo degli accessi e MFA | Repository, amministrazione CI/CD, registrazione dei runner, ruoli di deployment in produzione |
| Crittografia | Firma degli artefatti, protezione dei segreti, gestione delle chiavi |
Article 23 aggiunge la segnalazione per fasi degli incidenti significativi, inclusi allarme precoce entro 24 ore dalla consapevolezza, notifica dell’incidente entro 72 ore e rapporto finale non oltre un mese dalla notifica dell’incidente. Se una compromissione CI/CD può causare una grave interruzione operativa, perdita finanziaria o danno materiale ad altri, il processo di classificazione degli incidenti deve essere pronto prima dell’incidente.
Per gli enti finanziari, DORA si applica dal 17 gennaio 2025 e copre gestione del rischio ICT, segnalazione degli incidenti, test di resilienza, condivisione delle informazioni, gestione del rischio ICT di terze parti e requisiti contrattuali. Article 5 richiede un quadro interno di governance e controllo per il rischio ICT, con responsabilità dell’organo di gestione. Article 6 richiede un quadro documentato di gestione del rischio ICT integrato nella gestione complessiva del rischio.
Gli Articles da 8 a 14 si mappano direttamente alla governance delle pipeline CI/CD. Gli enti finanziari devono identificare e classificare funzioni aziendali supportate da ICT, asset, dipendenze, minacce e vulnerabilità. Devono proteggere i sistemi ICT tramite politiche, controlli di accesso, autenticazione forte, protezione delle chiavi crittografiche, gestione controllata delle modifiche ICT, patching e segmentazione. Devono rilevare anomalie, rispondere, ripristinare e apprendere dagli incidenti.
Gli Articles da 28 a 30 sono altrettanto importanti perché piattaforme CI/CD, provider di controllo del codice sorgente, registri degli artefatti, sistemi cloud di build e sviluppatori esterni possono costituire dipendenze ICT di terze parti. DORA si attende due diligence, misure contrattuali di sicurezza, valutazione del rischio di concentrazione, diritti di audit e ispezione, trigger di risoluzione, strategie di uscita e clausole sui livelli di servizio.
GDPR aggiunge la prospettiva dell’accountability. Article 5 richiede che i dati personali siano trattati in modo lecito, corretto e trasparente, per finalità determinate, minimizzati, esatti, conservati solo per il tempo necessario e protetti contro trattamenti non autorizzati o illeciti e contro perdita, distruzione o danno accidentali. Article 5(2) richiede al titolare di dimostrare la conformità.
Le pipeline CI/CD sono rilevanti per GDPR perché gli sviluppatori possono utilizzare dati di produzione negli ambienti di test, i log della pipeline possono esporre dati personali o token, i rilasci possono modificare la logica di trattamento e artefatti compromessi possono causare violazioni dei dati personali. Quando le modifiche software incidono sui controlli privacy, la registrazione della modifica deve acquisire l’impatto sulla privacy. Quando un incidente di pipeline provoca accesso non autorizzato a dati personali, la valutazione della violazione deve essere collegata alla gestione dell’incidente.
Le aspettative CRA aggiungono sicurezza del prodotto ed evidenze sugli aggiornamenti sicuri. Per fabbricanti e fornitori software che immettono sul mercato UE prodotti con elementi digitali, i clienti si aspettano sempre più spesso fascicoli di sicurezza del prodotto, evidenze di gestione delle vulnerabilità, controlli sugli aggiornamenti sicuri e integrità dei rilasci. La governance CI/CD fornisce gran parte di tali evidenze tramite tracciabilità del codice sorgente, artefatti firmati, risultati delle scansioni di vulnerabilità, note di rilascio, correzioni di sicurezza e registrazioni della distribuzione degli aggiornamenti.
NIST CSF 2.0 e COBIT 2019: la lente di audit oltre ISO
NIST CSF 2.0 fornisce un livello di integrazione per la governance della cibersicurezza. Il suo Core, gli Organizational Profiles e i Tiers aiutano le organizzazioni a comprendere la postura attuale e target, prioritizzare azioni allineate ai requisiti legali e normativi e comunicare il rischio cyber.
Per CI/CD, Clarysec crea spesso un Software Delivery Pipeline Profile. Il Current Profile descrive come funzionano oggi controllo del codice sorgente, runner, firma degli artefatti e approvazioni dei deployment. Il Target Profile definisce lo stato richiesto per le operazioni regolamentate. Il piano di gap diventa la roadmap di attuazione.
La funzione NIST GOVERN è particolarmente rilevante. GV.OC-03 richiede che i requisiti di cibersicurezza legali, normativi e contrattuali siano compresi e gestiti. GV.RM copre la propensione al rischio e la prioritizzazione standardizzata del rischio. GV.RR assegna accountability della leadership, ruoli e risorse. GV.PO richiede che le politiche di rischio di cibersicurezza siano stabilite, applicate, riesaminate e aggiornate. GV.OV copre supervisione e valutazione delle prestazioni.
Un auditor COBIT 2019 o con impostazione ISACA spesso guarda meno al dettaglio crittografico della firma degli artefatti e più al disegno di governance. Chiederà se la titolarità è definita, se l’abilitazione delle modifiche è controllata, se i servizi di terze parti sono gestiti in base al rischio, se il monitoraggio produce assurance, se le eccezioni sono approvate e se la direzione riceve report significativi.
| Lente di audit | Domanda probabile dell’audit | Evidenze che rispondono |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | CI/CD è incluso nel campo di applicazione del SGSI, nella valutazione del rischio, nella Dichiarazione di Applicabilità e nei controlli operativi? | Campo di applicazione del SGSI, registro dei rischi, mappatura SoA, clausole di policy, campioni di deployment |
| Riesaminatore dei controlli ISO/IEC 27002:2022 | SDLC sicuro, separazione degli ambienti, controllo degli accessi, gestione delle modifiche e raccolta delle evidenze sono attuati? | Protezioni dei branch, credenziali degli ambienti, approvazioni, firme degli artefatti, log |
| Valutatore NIS2 | La direzione ha approvato misure proporzionate per sviluppo sicuro, catena di fornitura, controllo degli accessi, trattamento degli incidenti e resilienza? | Verbali del consiglio di amministrazione, piano di trattamento del rischio, mappatura Article 21, playbook degli incidenti, registrazioni dei fornitori |
| Auditor DORA | La pipeline supporta gestione del rischio ICT, modifica controllata, monitoraggio, test, segnalazione degli incidenti e governance ICT di terze parti? | Inventario degli asset ICT, registrazioni delle modifiche, log di rilevamento, classificazione degli incidenti, registro dei provider |
| Riesaminatore GDPR | L’organizzazione può dimostrare sicurezza e accountability per i rilasci che incidono sui dati personali? | Note di riesame privacy, controlli sui dati di test, log degli accessi, workflow di valutazione della violazione |
| Valutatore NIST CSF 2.0 | Qual è la postura attuale rispetto a quella target della pipeline e qual è il piano di miglioramento prioritizzato? | Profilo CSF, gap analysis, POA&M, metriche, registrazioni di accettazione del rischio |
| Auditor COBIT 2019 o ISACA | Ruoli, responsabilità, controlli di processo, misure di prestazione e attività di assurance sono definiti? | RACI, elenco dei titolari dei controlli, report KPI e KRI, risultati di audit interno, registro delle eccezioni |
Carenze comuni negli audit CI/CD e metriche per il consiglio di amministrazione
La maggior parte delle risultanze di audit CI/CD è prevedibile. La prima riguarda evidenze non collegate. Il team dispone di log Git, log della pipeline e log di deployment, ma nessuna singola registrazione di modifica li collega. La seconda è l’automazione sovra-privilegiata, in cui un job può leggere segreti di produzione, pubblicare artefatti, approvare deployment e modificare definizioni di pipeline. La terza riguarda runner condivisi persistenti, che creano rischio di contaminazione tra progetti e rendono più difficile delimitare l’ambito forense dopo una compromissione.
Altre carenze comuni includono artefatti non firmati o sovrascritti, override informali delle scansioni, scarsa visibilità sui fornitori e perdite di dati personali nei log. Una buona pipeline consente eccezioni, ma richiede approvazione, scadenza, titolarità del rischio e riesame.
I responsabili della sicurezza dovrebbero evitare di riportare al consiglio di amministrazione solo il numero di scansioni. Devono invece riferire metriche di affidabilità dei rilasci:
- Percentuale di deployment in produzione collegati a registrazioni di modifica approvate.
- Percentuale di artefatti di produzione firmati e tracciabili fino ai commit sorgente.
- Numero di deployment che utilizzano eccezioni o approvazioni di emergenza.
- Percentuale di utenti CI/CD privilegiati con MFA e recente riesame degli accessi.
- Numero di credenziali di deployment a lunga durata attive.
- Percentuale di servizi critici che utilizzano runner configurati in modo sicuro o effimeri.
- Tempo medio di revoca o rotazione dei segreti della pipeline dopo un incidente.
- Numero di dipendenze critiche da fornitori a supporto del rilascio software.
- Tasso di completezza delle evidenze per rilasci campionati in audit.
Queste metriche supportano leadership, pianificazione e controllo operativo ISO/IEC 27001:2022. Supportano inoltre la supervisione della gestione prevista da NIS2 Article 20 e le aspettative di governance DORA.
Rendere la pipeline auditabile prima dell’incidente
La governance della sicurezza delle pipeline CI/CD nel 2026 non serve a rallentare l’ingegneria. Serve a rendere il rilascio software affidabile, resiliente e dimostrabile. I programmi migliori utilizzano l’automazione per accelerare la produzione di evidenze, non per aggirare la governance.
Un’attuazione pratica Clarysec parte da tre azioni.
- Utilizzare Zenith Blueprint Zenith Blueprint per inserire DevOps sicuro, accesso al codice sorgente, separazione degli ambienti e gestione delle modifiche nella roadmap di attuazione ISO/IEC 27001:2022.
- Utilizzare Zenith Controls Zenith Controls per mappare i rischi CI/CD tra SDLC sicuro, catena di fornitura ICT, controllo degli accessi, gestione delle modifiche, raccolta delle evidenze, NIS2, DORA, GDPR, NIST CSF 2.0 e prospettive di audit COBIT 2019.
- Distribuire i template di politiche Clarysec, inclusi Politica di sviluppo sicuro, Politica di gestione dei cambiamenti, Politica sui dati di test e sugli ambienti di test, Politica di sviluppo sicuro-sme - PMI, Politica di registrazione e monitoraggio-sme - PMI e Politica per la raccolta delle evidenze e l’analisi forense-sme - PMI, per definire chi approva i rilasci, come vengono tracciati gli artefatti, come sono controllati i runner e quali evidenze devono essere conservate.
Se il prossimo campione di audit inizia con “mostrateci la traccia del rilascio in produzione”, il vostro team dovrebbe essere in grado di rispondere in minuti, non in settimane. Questa è la differenza tra automazione DevOps e rilascio software governato.
Scaricate il toolkit di politiche Clarysec, riesaminate la vostra pipeline CI/CD rispetto a Zenith Blueprint e Zenith Controls, oppure prenotate una valutazione Clarysec per trasformare la pipeline da fonte di ansia in audit a pilastro della resilienza digitale.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
