CI/CD konveijeru drošības pārvaldība 2026. gada auditiem
Pirmdienas rītā plkst. 08:17 augošas fintech organizācijas informācijas drošības vadītājs saņem ziņu, no kuras baidās ikviens drošības vadītājs:
“Ražošanas būvējums izskatās korekts, bet artefakta hešvērtība neatbilst pirmkoda izmaiņu ierakstam.”
Dažu minūšu laikā inženieru komanda apstiprina, ka laidiens ir izgājis vienībtestus, izvietošanas pieteikums pastāv un klientiem pieejamais pakalpojums darbojas stabili. Taču konveijers rāda citu ainu. Pašmitināts CI izpildes mezgls tika atkārtoti izmantots vairākos projektos. Īslaicīgi mākoņpakalpojumu akreditācijas dati palika aktīvi ilgāk, nekā paredzēts. Artefaktu reģistrā redzams parakstīts konteinera attēls, bet parakstīšanas atslēga bija pieejama no tā paša izpildes mezgla, kas izpildīja neuzticamus būvējuma skriptus.
Laidiena pārvaldnieks var pierādīt, ka kaut kas tika izvietots. Taču organizācija vismaz pietiekami ātri nevar pierādīt, kas tika izveidots, kas to apstiprināja, vai būvējuma vide bija tīra un vai pierādījumi izturētu auditu vai incidenta izmeklēšanu.
Tā vairs nav tikai DevOps problēma.
- gadā CI/CD konveijeru drošības pārvaldība atrodas programmatūras piegādes ķēdes drošības, darbības noturības, privātuma pārskatatbildības, produktu drošības un valdes līmeņa kiberrisku pārraudzības krustpunktā. NIS2 pieprasa vadības struktūrām apstiprināt un pārraudzīt kiberdrošības risku pārvaldības pasākumus. DORA pieprasa finanšu iestādēm pārvaldīt IKT riskus, incidentus, testēšanu un trešo pušu atkarības. GDPR pieprasa pārziņiem un apstrādātājiem pierādīt atbilstošu drošību un pārskatatbildību attiecībā uz personas datiem. Cyber Resilience Act paaugstina tirgus gaidas attiecībā uz drošiem produktiem ar digitāliem elementiem, drošiem atjauninājumiem un ievainojamību apstrādi. ISO/IEC 27001:2022 pieprasa informācijas drošības pārvaldības sistēmu, kas riska apstrādi pārvērš kontrolētās, ar pierādījumiem pamatotās darbībās.
Konveijers ir kļuvis par mūsdienu programmatūras uzticamības audita pēdu.
Jaunais atbilstības jautājums: vai varat pierādīt, kas nonāca ražošanas vidē?
Gadiem ilgi DevSecOps programmas koncentrējās uz skeneru pievienošanu konveijeriem. Statiskā analīze, atkarību pārbaudes, noslēpumu skenēšana, konteineru skenēšana un infrastruktūras kā koda validācija kļuva par ierastu praksi. Šie kontroles pasākumi joprojām ir būtiski, taču tie neatbild uz pārvaldības jautājumu, ko tagad uzdod auditori, regulatori, klienti un valdes:
Vai organizācija var pierādīt, ka katra izvietošana ražošanas vidē ir iegūta no apstiprināta pirmkoda, izveidota kontrolētā vidē, radījusi verificējamu artefaktu, izgājusi nepieciešamos drošības vārtus, izmantojusi apstiprinātus akreditācijas datus, ievērojusi izmaiņu pārvaldību un radījusi pierādījumus, kurus var saglabāt?
Uzbrucēji zina, ka būvējumu sistēmas, pakotņu atkarības, izstrādātāju marķieri, CI izpildes mezgli, laidienu automatizācija, artefaktu reģistri un mākoņvides izvietošanas lomas ir augstvērtīgi mērķi. Kompromitēts konveijers var apiet tradicionālos aizsardzības pasākumus, jo tas izmanto uzticamu automatizāciju, lai ievadītu ļaunprātīgu kodu uzticamās vidēs.
Tādēļ nobriedušam CI/CD konveijeru drošības pārvaldības modelim ir nepieciešami seši pierādījumu pīlāri.
| Pierādījumu pīlārs | Ko tas pierāda | Tipiski pierādījumi |
|---|---|---|
| Pirmkoda integritāte | Izvietotais artefakts ir iegūts no apstiprināta pirmkoda | Izmaiņu ieraksta ID, atzaru aizsardzības politikas, pull request apstiprinājumi, parakstīti izmaiņu ieraksti, repozitorija audita žurnāli |
| Būvējuma izcelsme | Artefaktu izveidojis zināms konveijers kontrolētos apstākļos | Būvējuma ID, izpildes mezgla identitāte, būvējuma recepte, atkarību manifests, artefakta hešvērtība, parakstīšanas ieraksts |
| Izpildes mezglu nocietināšana | Izpildes vidi nevarēja viegli atkārtoti izmantot vai ar to manipulēt | Īslaicīgu izpildes mezglu žurnāli, bāzes attēls, ielāpu statuss, izolācijas kontroles pasākumi, tīkla ierobežojumi |
| Artefakta integritāte | Laidiena pakotne pēc būvējuma izveides nav mainīta | Paraksts, kontrolsumma, reģistra žurnāls, paaugstināšanas ieraksts, nemaināmu tagu politika |
| Izvietošanas pārvaldība | Izmaiņa bija autorizēta, testēta un izsekojama | Izmaiņu pieprasījuma ID, apstiprinājuma pierādījumi, vides paaugstināšanas žurnāli, atcelšanas plāns |
| Kriminālistiskā gatavība | Pierādījumus var saglabāt audita vai reaģēšanas uz incidentiem laikā | Eksportēti žurnāli, ekrānuzņēmumi, datņu hešvērtības, pierādījumu glabāšanas ķēdes ieraksts |
Šeit Clarysec pieeja atšķiras no kontrolsarakstu atbilstības. Mēs CI/CD platformu uztveram kā pārvaldītu biznesa procesu, nevis tikai tehnisku rīku. Šim procesam jābūt iekļautam IDPS darbības jomā, risku izvērtētam, kontrolētam, uzraudzītam, auditētam un uzlabotam.
Iekļaujiet CI/CD ISO/IEC 27001:2022 IDPS darbības jomā
ISO/IEC 27001:2022 sākas ar kontekstu, ieinteresētajām pusēm un piemērošanas jomu. 4.1.–4.4. punkti pieprasa organizācijām izprast iekšējos un ārējos jautājumus, noteikt ieinteresēto pušu prasības, identificēt juridiskās, regulatīvās un līgumiskās prasības un definēt IDPS darbības jomu, ņemot vērā atkarības no citām organizācijām.
SaaS sniedzējam, fintech uzņēmumam, pārvaldīto pakalpojumu sniedzējam (MSP), programmatūras piegādātājam vai mākoņvidē dzimušam uzņēmumam CI/CD gandrīz vienmēr ietilpst šajā darbības jomā, jo tas tieši ietekmē pakalpojumu piegādi, klientu datus, ražošanas infrastruktūru un līgumiskās saistības.
5.1.–5.3. punkti nosaka vadības atbildību par IDPS. Tas ir būtiski, jo moderna laidienu automatizācija atrodas starp inženieriju, drošību, mākoņvides operācijām, iepirkumu, atbilstību un produktu pārvaldību. Ja neviens vadības līmeņa īpašnieks neatbild par ražošanas izvietošanas automatizācijas riska apetīti, organizācijā parasti veidojas sadrumstaloti rīki un nekonsekventi pierādījumi.
6.1.1.–6.1.3. punkti nodrošina plānošanas pamatu. Organizācijai jāizvērtē konfidencialitātes, integritātes un pieejamības riski, jānosaka risku īpašnieki, jāsalīdzina riski ar kritērijiem, jāizvēlas riska apstrādes pasākumi, jāsalīdzina atlasītie kontroles pasākumi ar A pielikumu, jāsagatavo piemērojamības deklarācija (SoA) un jāsaņem apstiprinājums riska apstrādes plānam un atlikušajam riskam.
CI/CD risku izvērtēšana nedrīkst aprobežoties ar frāzi “programmatūras piegādes ķēdes risks”. Tajā jānosauc reālistiski scenāriji:
- Ļaunprātīgs būvējuma skripts veic parakstīšanas atslēgu datu neatļautu iznesi no koplietota izpildes mezgla.
- Izstrādātājs apiet atzaru aizsardzības politikas un izvieto nepārskatītu kodu.
- Kompromitēta trešās puses darbība būvējuma izveides laikā maina artefaktu.
- Sagatavošanas vides akreditācijas dati piešķir piekļuvi ražošanas videi.
- Izvietošana notiek bez sasaistīta izmaiņu pieprasījuma.
- Konveijera žurnāli, kas nepieciešami incidenta rekonstrukcijai, tiek pārrakstīti pēc septiņām dienām.
- Atkarību indēšanas incidents sasniedz pirmsražošanas vidi vai ražošanas vidi.
8.1. punkts pēc tam pieprasa plānotu un kontrolētu IDPS procesu darbību, dokumentētus pierādījumus, plānoto izmaiņu kontroli, neparedzētu izmaiņu pārskatīšanu un ārēji nodrošinātu procesu, produktu vai pakalpojumu kontroli, ja tie ir nozīmīgi IDPS. Ja konveijers maina ražošanas vidi, tam jāģenerē pierādījumi par kontrolētu darbību.
Clarysec kontroles modelis drošai programmatūras piegādei
Clarysec sasaista politiku, kontroles pasākumus un audita pierādījumus. Zenith Blueprint: auditora 30 soļu ceļakarte Zenith Blueprint drošu DevOps un drošu izstrādi ievieto riska pārvaldības fāzē, 14. solī. Tajā noteikts, ka organizācijām jānodrošina CI/CD rīku drošība, jāpanāk, ka izvietošanas var ierosināt tikai autorizēts personāls, jāizmanto MFA piekļuvei konveijeram, jāaizsargā būvējumu artefaktu integritāte un jāžurnālē un jāuzrauga CI/CD darbības.
“DevOps konveijera kontroles pasākumi: CI/CD rīkiem jābūt aizsargātiem – izvietošanu drīkst ierosināt tikai autorizēts personāls; piekļuvei konveijeram jāizmanto MFA; jāaizsargā būvējumu artefaktu integritāte. CI/CD darbības jāžurnālē un jāuzrauga.”
Šie norādījumi kļūst praktiski izmantojami, kad tos pārvērš politikas punktos un pierādījumu prasībās.
P24 Drošas izstrādes politika Drošas izstrādes politika nosaka:
“Būvējumu artefakti jāparaksta un tiem jābūt izsekojamiem līdz pirmkoda izmaiņu ierakstiem.”
Tas ir viens no spēcīgākajiem kontroles pasākumiem CI/CD pārvaldības programmā. Tas inženieru komandai nosaka, ka ražošanas artefaktam jābūt ar verificējamu izcelsmes ķēdi līdz pirmkoda kontrolei. Tas arī nosaka auditoriem, ko testēt: izvēlēties ražošanas laidienu, pārbaudīt artefakta parakstu, validēt izmaiņu ieraksta atsauci, pārskatīt pull request apstiprinājumu un apstiprināt konveijera būvējuma ierakstu.
Tā pati politika nosaka:
“Visas izstrādes darbības jāizseko apstiprinātās versiju kontroles sistēmās ar atbilstošiem piekļuves kontroles pasākumiem, audita pēdām un atzaru aizsardzības politikām.”
Tas pārnes pārvaldību uz agrāku posmu. Ja pirmkoda repozitoriji nav aizsargāti, būvējuma izcelsme ir vāja. Ja atzaru aizsardzības politikas var apiet, konveijers var korekti izveidot neapstiprinātu kodu. Ja audita pēdas ir atspējotas, incidenta rekonstrukcija balstās uz atmiņu un ekrānuzņēmumiem, nevis uz pierādījumiem.
Mazākām organizācijām Drošas izstrādes politika SME Drošas izstrādes politika SME ietver praktisku minimālo prasību:
“Koda versijas, izvietošanas datuma un apstiprinātāja izsekošana”
Šāda vienkārša izvietošanas uzskaite ir spēcīgs sākumpunkts. Daudzām SME pirmajā dienā nav nepieciešama smagnēja laidienu pārvaldība, bet tām jāzina, kura versija nonāca darbībā, kad un kas to apstiprināja.
SME politika arī nosaka:
“Piekļuve ražošanas izvietošanas rīkiem vai sistēmām jākontrolē, jāžurnālē un periodiski jāpārskata ģenerāldirektoram vai IT pakalpojumu sniedzējam.”
Tieši šo pārvaldības soli daudzas mazākas komandas palaiž garām. CI/CD platforma ar ražošanas mākoņvides akreditācijas datiem ir priviliģēts piekļuves ceļš uz ražošanas vidi.
Trīs ISO/IEC 27002:2022 kontroles jomas drošam CI/CD
Zenith Controls: Cross-Compliance Guide Zenith Controls ir Clarysec starpatbilstības kompass oficiālo standartu un ietvaru kartēšanai uz praktiskām kontroles attiecībām. CI/CD konveijeru drošības pārvaldībai centrālas ir trīs ISO/IEC 27002:2022 kontroles jomas.
| ISO/IEC 27002:2022 kontrole | CI/CD pārvaldības loma | Saistītie kontroles pasākumi un pierādījumi |
|---|---|---|
| 5.21 Informācijas drošības pārvaldība IKT piegādes ķēdē | Pārvalda CI/CD platformas, trešo pušu darbības, pakotņu repozitorijus, mākoņvides būvējumu pakalpojumus, reģistrus un ārpakalpojuma izstrādi | Piegādātāju pienācīga pārbaude, līgumiskās drošības prasības, pakalpojumu sniedzēju žurnāli, atkarību uzskaite |
| 8.25 Drošas izstrādes dzīves cikls | Iegulda drošību prasībās, projektēšanā, kodēšanā, būvēšanā, testēšanā un laidienā | Droša arhitektūra, droša kodēšana, drošības testēšana, artefaktu parakstīšana, laidiena pierādījumi |
| 8.32 Izmaiņu pārvaldība | Nodrošina, ka izvietošanas ir apzinātas, pamatotas, apstiprinātas un auditējamas | Izmaiņu pieprasījuma ID, apstiprinājums, izvietošanas žurnāls, atcelšanas plāns, ārkārtas izmaiņu ieraksts |
Zenith Controls apraksta 5.21 kā preventīvu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību, kur piegādātāju attiecību drošība ir galvenā operacionālā spēja. Tas atbilst CI/CD, jo mūsdienu konveijeri ir atkarīgi no ārējiem pakalpojumiem: pirmkoda kontroles platformām, mitinātiem izpildes mezgliem, konteineru reģistriem, atvērtā pirmkoda pakotņu repozitorijiem, trešo pušu GitHub darbībām, skenēšanas rīkiem, mākoņvides izvietošanas API un ārpakalpojuma izstrādātājiem.
5.21 kartējumā Zenith Controls sasaista IKT piegādes ķēdes drošību ar 5.19 Informācijas drošība piegādātāju attiecībās, 5.20 Informācijas drošības iekļaušana piegādātāju līgumos, 8.27 Drošas sistēmu arhitektūras un inženierijas principi, 8.28 Droša kodēšana, 8.29 Drošības testēšana izstrādē un pieņemšanā, 5.15 Piekļuves kontrole, 5.28 Pierādījumu vākšana, 8.25 Drošas izstrādes dzīves cikls un 8.30 Ārpakalpojuma izstrāde.
Attiecībā uz 8.25 Zenith Controls identificē Drošas izstrādes dzīves ciklu kā preventīvu kontroles pasākumu, kas aizsargā konfidencialitāti, integritāti un pieejamību. Tas sasaista drošības prasības, arhitektūru, kodēšanu, testēšanu, ārpakalpojuma izstrādi un 8.31 Izstrādes, testa un ražošanas vides nodalīšana.
Attiecībā uz 8.32 Zenith Controls pozicionē Izmaiņu pārvaldību kā tiltu starp izstrādi un operācijām. Tā ir saistīta ar 8.9 Konfigurāciju pārvaldība, 8.8 Tehnisko ievainojamību pārvaldība, drošu SDLC un reaģēšanu uz incidentiem. Tāpēc izvietošanas automatizācija nedrīkst atrasties ārpus izmaiņu pārvaldības. Tā ir mehānisms, ar kuru notiek izmaiņas ražošanas vidē.
Būvējuma izcelsme: laidiena stāsts, kam auditori var sekot
Būvējuma izcelsme ir spēja ar pierādījumiem atbildēt, no kurienes programmatūras artefakts nācis un kā tas izveidots. Spēcīgs izcelsmes ieraksts izstāsta laidiena stāstu:
- Kurš pirmkoda repozitorijs un izmaiņu ieraksts tika izmantots.
- Kurš atzars vai tags ierosināja būvējumu.
- Kurš pull request, pārskatītājs un apstiprinājums bija sasaistīts.
- Kura konveijera definīcija tika izpildīta.
- Kurš izpildes mezgls izpildīja uzdevumu.
- Kuras atkarības un bāzes attēli tika izmantoti.
- Kuri testi un drošības vārti tika izpildīti.
- Kurš artefakts tika izveidots.
- Kurš paraksts vai hešvērtība tika ģenerēta.
- Kura izvietošana izmantoja artefaktu.
P05 Izmaiņu pārvaldības politika Izmaiņu pārvaldības politika nodrošina pārvaldības sasaisti. Tā nosaka:
“Ar rīkiem veiktām izmaiņām joprojām jāatbilst šai politikai un jābūt izsekojamām līdz attiecīgam izmaiņu pieprasījuma ID.”
Tas risina bieži sastopamo argumentu, ka automatizētām izvietošanām nav nepieciešami izmaiņu pieteikumi. Automatizācija neatceļ izmaiņu pārvaldību. Tā maina pierādījumu ģenerēšanas veidu.
Tā pati politika nosaka:
“Visi izmaiņu pieprasījumi, pārskatīšanas, apstiprinājumi un atbalstošie pierādījumi jāreģistrē centralizētajā izmaiņu pārvaldības sistēmā.”
Praksē izmaiņu pārvaldības sistēmai jābūt indeksam, nevis nekārtotai krātuvei. Pieteikumam jānorāda uz pirmkoda repozitoriju, būvējuma izpildi, artefakta parakstu, izvietošanas žurnālu un atcelšanas plānu. Detalizētie pierādījumi var palikt inženierijas rīkos, ja ir definēta glabāšana, piekļuves kontrole un eksportējamība.
| Kontroles jautājums | Saglabājamie pierādījumi | Īpašnieks |
|---|---|---|
| Vai pirmkods tika apstiprināts? | Pull request apstiprinājums, atzaru aizsardzības politikas iestatījumi, pārskatītāja identitāte | Inženierijas vadītājs |
| Vai būvējums tika kontrolēts? | Būvējuma izpildes ID, izpildes mezgla ID, konveijera definīcijas versija, uzdevuma žurnāli | DevOps |
| Vai artefakts bija izsekojams? | Artefakta hešvērtība, paraksts, pirmkoda izmaiņu ieraksta atsauce, reģistra metadati | Platformas komanda |
| Vai drošības vārti tika izpildīti? | SAST, SCA, konteineru, DAST un IaC skenēšanas rezultāti, izņēmumu apstiprinājumi | Drošība |
| Vai izvietošana bija autorizēta? | Izmaiņu pieprasījuma ID, apstiprinātājs, izvietošanas logs, atcelšanas plāns | Izmaiņu pārvaldnieks |
| Vai pierādījumus var saglabāt? | Eksportēti žurnāli, ekrānuzņēmumi, hešvērtības, pierādījumu glabāšanas ķēdes ieraksts | Drošība vai atbilstība |
Izpildes mezglu nocietināšana: nepietiekami novērtēts ražošanas kontroles pasākums
CI/CD izpildes mezgli bieži tiek uztverti kā vienreizlietojama infrastruktūra, taču tie ir augsta riska izpildes vides. Izpildes mezgls var piekļūt pirmkodam, noslēpumiem, būvējumu kešatmiņām, pakotņu repozitorijiem, parakstīšanas atslēgām, artefaktu reģistriem un mākoņvides izvietošanas lomām. Ja tas ir pastāvīgs, koplietots, ar pārmērīgām tiesībām vai nepietiekami uzraudzīts, tas kļūst par priviliģētu pārejas punktu.
Drošas pārvaldības nostāja ir vienkārša: izpildes mezgli, kas būvē vai izvieto ražošanas kodu, jānocietina kā ražošanas infrastruktūra.
| Izpildes mezglu nocietināšanas joma | Sagaidāmais kontroles pasākums | Audita pierādījumi |
|---|---|---|
| Izolācija | Jutīgiem būvējumiem jāizmanto īslaicīgi izpildes mezgli un jāizvairās no koplietošanas pāri uzticamības robežām | Izpildes mezglu dzīves cikla žurnāli, izpildes mezglu grupu iestatījumi |
| Akreditācijas datu drošība | Ilgtermiņa noslēpumu vietā jāizmanto īslaicīgi akreditācijas dati un darbslodžu identitāte | Identitātes konfigurācija, marķieru derīguma termiņa iestatījumi, noslēpumu rotācijas žurnāli |
| Minimāli nepieciešamās tiesības | Jānodala būvēšanas, testēšanas, parakstīšanas un izvietošanas lomas | Lomu definīcijas, piekļuves tiesību pārskatīšana, piekļuves tiesību eksporti |
| Tīkla kontrole | Jāierobežo izejošā piekļuve un jābloķē nevajadzīgi savienojumi ar ražošanas vidi | Ugunsmūra noteikumi, tīkla politiku eksporti, izejošās datplūsmas žurnāli |
| Bāzlīnijas integritāte | Izpildes mezglu attēli jāielāpo un jāreģistrē apstiprinātās versijas | Attēlu uzskaite, ielāpu pārskati, būvējumu attēlu digest vērtības |
| Kešatmiņas aizsardzība | Jānovērš starpprojektu piesārņošana caur būvējumu kešatmiņām | Kešatmiņas politika, projektu izolācijas iestatījumi |
| Uzraudzība | Jāžurnālē administratīvās darbības, konfigurācijas izmaiņas un uzdevumu anomālijas | CI/CD audita žurnāli, SIEM notikumi, brīdinājumu ieraksti |
Testa datu un testa vides politika Testa datu un testa vides politika nosaka:
“Integrācijai ar CI/CD konveijeriem jānodrošina vides un akreditācijas datu nodalīšana.”
Izpildes mezgls, kas var izvietot gan sagatavošanas, gan ražošanas vidē ar vienu un to pašu akreditācijas datu modeli, pēc būtības pārkāpj vides nodalīšanu, pat ja infrastruktūra ir loģiski atdalīta. Clarysec parasti iesaka atsevišķas izvietošanas identitātes katrai videi, atsevišķus apstiprināšanas vārtus ražošanai un skaidrus kontroles pasākumus, kas liedz zemāku vides uzdevumiem piekļūt ražošanas noslēpumiem.
Zenith Blueprint, Controls in Action fāzes 21. solis, to pastiprina ar izstrādes, testa un ražošanas vides nodalīšanu:
“Ja tiek izmantots CI/CD, apstipriniet, ka izvietošanas paaugstināšana starp vidēm ir kontrolēta un prasa pārskatīšanu vai apstiprinājumu. Dokumentējiet to savā Vides pārvaldības procedūrā un saglabājiet ekrānuzņēmumus vai konsoles eksportus kā pamatojumu.”
Reālā auditā tas nozīmē, ka auditoram nevajadzētu redzēt tikai shēmu. Auditoram jāredz konsoles eksporti, kas parāda videi specifiskus akreditācijas datus, aizsargātas izvietošanas vides, apstiprināšanas vārtus un žurnālus, kas pierāda, ka paaugstināšana tika kontrolēta.
Izvietošanas pierādījumi: atbilstības artefakts, kas slēpjas acu priekšā
Nobriedušākās DevSecOps komandas pierādījumu vākšanu neuztver kā ceturkšņa steigu. Tās projektē konveijerus tā, lai pierādījumi tiktu ģenerēti automātiski.
Žurnālfiksēšanas un uzraudzības politika SME Žurnālfiksēšanas un uzraudzības politika SME identificē būtiskos žurnālu notikumus kā:
“Sistēmas žurnāli: konfigurācijas izmaiņas, administratīvās darbības, programmatūras instalācijas, ielāpu uzstādīšana”
CI/CD sistēmas rada visas četras kategorijas. Konveijera konfigurācijas izmaiņas ietekmē, kā programmatūra tiek būvēta. Administratīvās darbības maina, kurš var apstiprināt vai izvietot. Programmatūras instalācijas notiek būvējumu attēlos un izvietošanas mērķos. Ielāpu uzstādīšana var notikt caur automatizētiem laidienu procesiem. Šie notikumi jāžurnālē, jāglabā un jāpārskata atbilstoši riskam.
Gatavībai izmeklēšanai P31S Digitālo pierādījumu iegūšanas un kriminālistikas politika SME Digitālo pierādījumu iegūšanas un kriminālistikas politika SME nosaka:
“Ekrānuzņēmumi, eksportēti žurnāli un datņu hešvērtības jāglabā kopā ar pierādījumu glabāšanas ķēdes datni.”
Tas ir īpaši svarīgi pēc aizdomām par konveijera kompromitēšanu. Ekrānuzņēmumi vieni paši ir vāji pierādījumi. Žurnāli bez hešvērtībām var tikt apšaubīti. Pierādījumu glabāšanas ķēdes datne bez pirmkoda atsaucēm ir nepilnīga.
Pamatotam ražošanas izvietošanas ierakstam jāietver turpmākais.
| Pierādījumu elements | Minimālais saturs | Primārais avots | Atbilstības vērtība |
|---|---|---|---|
| Izmaiņu pieprasījums | Biznesa vajadzība, riska līmenis, apstiprinājums, izmaiņas ID, atcelšanas plāns | JIRA, ServiceNow, Git issue | ISO 27002 8.32, DORA Article 9 |
| Pirmkoda ieraksts | Repozitorijs, izmaiņu ieraksts, atzars, pull request apstiprinājumi | Git, GitHub, GitLab, Azure DevOps | ISO 27002 8.25, NIS2 Article 21 |
| Būvējuma ieraksts | Konveijera ID, izpildes mezgla ID, būvējuma žurnāli, atkarību dati | CI/CD platforma | ISO 27002 8.25, IKT piegādes ķēdes pierādījumi |
| Būvējuma izcelsmes apliecinājums | Parakstīts ieraksts par būvējuma ievaddatiem, vidi un procesu | CI/CD rīks, SLSA spējīga darbplūsma | ISO 27002 5.21, CRA Annex I atbalsts |
| Drošības vārtu ieraksts | SAST, SCA, DAST, konteineru un IaC skenēšanas rezultāti | Drošības rīki, konveijera žurnāli | ISO 27002 8.29, DORA Article 9 |
| Artefakta ieraksts | Hešvērtība, paraksts, reģistra ceļš, nemaināms digest | Artefaktu reģistrs | ISO 27002 8.25, CRA drošu atjauninājumu pierādījumi |
| Izvietošanas ieraksts | Vide, izpildītājs, laikspiedols, ražošanas apstiprinājums | GitOps, izvietošanas platforma | ISO 27002 8.32, DORA Article 10 |
| Uzraudzības ieraksts | Veselības un anomāliju pārbaudes pēc izvietošanas | SIEM, novērojamības platforma | DORA atklāšanas un reaģēšanas gaidas |
| Pierādījumu saglabāšana | Eksportēti žurnāli, ekrānuzņēmumi, hešvērtības, glabāšanas ķēdes ieraksts | Pierādījumu repozitorijs | ISO 27002 5.28, incidenta izmeklēšana |
Šī pakotne pārvērš CI/CD no tehnisku soļu virknes par pārvaldības, kontroles un pienācīgas rūpības stāstu.
CI/CD pārvaldības kartēšana uz NIS2, DORA, GDPR un CRA
NIS2 attiecas uz daudzām būtiskām un svarīgām vienībām, tostarp digitālo infrastruktūru, IKT pakalpojumu pārvaldību un digitālo pakalpojumu sniedzējiem, ja ir izpildīti kritēriji. Article 20 ir īpaši nozīmīgs, jo tas nosaka vadības līmeņa kiberdrošības pienākumus. Vadības struktūrām jāapstiprina kiberdrošības risku pārvaldības pasākumi, jāuzrauga to ieviešana un jāsaņem apmācība.
Article 21 nodrošina risku pārvaldības pamatprasības. Tas pieprasa atbilstošus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, kas aptver riska analīzi, politikas, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi, izstrādi un uzturēšanu, ievainojamību apstrādi, efektivitātes novērtēšanu, kiberdrošības higiēnu, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un MFA, ja piemērojams.
| NIS2 Article 21 tēma | CI/CD pārvaldības interpretācija |
|---|---|
| Riska analīze un politikas | Konveijera draudu modelis, drošas izstrādes politika, izpildes mezglu riska izvērtēšana |
| Incidentu apstrāde | Konveijera kompromitēšanas rokasgrāmata, artefakta atsaukšana, ārkārtas laidiena kontrole |
| Darbības nepārtrauktība | Pirmkoda kontroles, artefaktu reģistra un izvietošanas automatizācijas atjaunošana |
| Piegādes ķēdes drošība | Trešo pušu darbības, pakotnes, ārpakalpojuma izstrāde, reģistra atkarības |
| Droša izstrāde un uzturēšana | Drošs SDLC, koda pārskatīšana, testēšana, ievainojamību apstrāde |
| Efektivitātes izvērtēšana | Konveijera kontroles pasākumu testēšana, audita izlase, metrika un izņēmumi |
| Piekļuves kontrole un MFA | Repozitorijs, CI/CD administrēšana, izpildes mezglu reģistrācija, ražošanas izvietošanas lomas |
| Kriptogrāfija | Artefaktu parakstīšana, noslēpumu aizsardzība, atslēgu pārvaldība |
Article 23 pievieno pakāpenisku ziņošanu par būtiskiem incidentiem, tostarp agrīnu brīdinājumu 24 stundu laikā pēc uzzināšanas, incidenta paziņojumu 72 stundu laikā un gala ziņojumu ne vēlāk kā vienu mēnesi pēc incidenta paziņojuma. Ja CI/CD kompromitēšana varētu izraisīt smagus darbības traucējumus, finanšu zaudējumus vai būtisku kaitējumu citiem, incidenta klasificēšanas procesam jābūt gatavam pirms incidenta.
Finanšu iestādēm DORA ir piemērojama no 2025. gada 17. janvāra un aptver IKT risku pārvaldību, incidentu ziņošanu, noturības testēšanu, informācijas apmaiņu, IKT trešo pušu risku pārvaldību un līgumiskās prasības. Article 5 pieprasa iekšēju IKT riska pārvaldības un kontroles ietvaru ar vadības struktūras atbildību. Article 6 pieprasa dokumentētu IKT risku pārvaldības ietvaru, kas integrēts kopējā risku pārvaldībā.
Articles 8 līdz 14 tieši kartējas uz CI/CD konveijeru pārvaldību. Finanšu iestādēm jāidentificē un jāklasificē IKT atbalstītas biznesa funkcijas, aktīvi, atkarības, apdraudējumi un ievainojamības. Tām jāaizsargā IKT sistēmas ar politikām, piekļuves kontroles pasākumiem, spēcīgu autentifikāciju, kriptogrāfisko atslēgu aizsardzību, kontrolētu IKT izmaiņu pārvaldību, ielāpu uzstādīšanu un segmentēšanu. Tām jāatklāj anomālijas, jāreaģē, jāatjaunojas un jāmācās no incidentiem.
Articles 28 līdz 30 ir tikpat svarīgi, jo CI/CD platformas, pirmkoda kontroles sniedzēji, artefaktu reģistri, mākoņvides būvējumu sistēmas un ārpakalpojuma izstrādātāji var būt IKT trešo pušu atkarības. DORA sagaida pienācīgu pārbaudi, līgumiskos drošības pasākumus, koncentrācijas riska izvērtēšanu, audita un pārbaudes tiesības, izbeigšanas trigerus, izstāšanās stratēģijas un pakalpojumu līmeņa klauzulas.
GDPR pievieno pārskatatbildības skatījumu. Article 5 pieprasa personas datus apstrādāt likumīgi, godprātīgi, pārredzami, konkrētiem nolūkiem, minimizēti, precīzi, glabāt tikai tik ilgi, cik nepieciešams, un aizsargāt pret nesankcionētu vai nelikumīgu apstrādi un nejaušu zudumu, iznīcināšanu vai bojājumu. Article 5(2) pieprasa pārzinim pierādīt atbilstību.
CI/CD konveijeri ir nozīmīgi GDPR kontekstā, jo izstrādātāji var izmantot ražošanas datus testa vidēs, konveijera žurnāli var atklāt personas datus vai marķierus, laidieni var mainīt apstrādes loģiku, un kompromitēti artefakti var izraisīt personas datu aizsardzības pārkāpumus. Ja programmatūras izmaiņas ietekmē privātuma kontroles, izmaiņu ierakstā jāfiksē privātuma ietekme. Ja konveijera incidents izraisa nesankcionētu piekļuvi personas datiem, pārkāpuma izvērtēšanai jābūt sasaistītai ar incidentu apstrādi.
CRA gaidas papildina produktu drošību un drošu atjauninājumu pierādījumus. Ražotājiem un programmatūras sniedzējiem, kas ES tirgū laiž produktus ar digitāliem elementiem, klienti arvien biežāk sagaida produktu drošības dokumentāciju, ievainojamību apstrādes pierādījumus, drošu atjauninājumu kontroles pasākumus un laidiena integritāti. CI/CD pārvaldība nodrošina lielu daļu šo pierādījumu ar pirmkoda izsekojamību, parakstītiem artefaktiem, ievainojamību skenēšanas rezultātiem, laidiena piezīmēm, drošības labojumiem un atjauninājumu izplatīšanas ierakstiem.
NIST CSF 2.0 un COBIT 2019: audita skatījums ārpus ISO
NIST CSF 2.0 nodrošina integrācijas slāni kiberdrošības pārvaldībai. Tā Core, Organizational Profiles un Tiers palīdz organizācijām izprast pašreizējo un mērķa stāvokli, prioritizēt darbības, kas saskaņotas ar juridiskajām un regulatīvajām prasībām, un komunicēt kiberrisku.
CI/CD vajadzībām Clarysec bieži izveido programmatūras piegādes konveijera profilu. Pašreizējais profils fiksē, kā šodien darbojas pirmkoda kontrole, izpildes mezgli, artefaktu parakstīšana un izvietošanas apstiprinājumi. Mērķa profils definē nepieciešamo stāvokli reglamentētām operācijām. Atšķirību plāns kļūst par ieviešanas ceļakarti.
NIST GOVERN funkcija ir īpaši nozīmīga. GV.OC-03 pieprasa saprast un pārvaldīt juridiskās, regulatīvās un līgumiskās kiberdrošības prasības. GV.RM aptver riska apetīti un standartizētu risku prioritizāciju. GV.RR piešķir vadības pārskatatbildību, lomas un resursus. GV.PO pieprasa izveidot, piemērot, pārskatīt un atjaunināt kiberdrošības riska politikas. GV.OV aptver pārraudzību un veiktspējas izvērtēšanu.
COBIT 2019 vai ISACA stila auditors bieži mazāk koncentrēsies uz artefaktu parakstīšanas kriptogrāfiskajām detaļām un vairāk uz pārvaldības dizainu. Viņi jautās, vai īpašumtiesības ir definētas, vai izmaiņu iespējošana tiek kontrolēta, vai trešo pušu pakalpojumu riski tiek pārvaldīti, vai uzraudzība sniedz apliecinājumu, vai izņēmumi tiek apstiprināti un vai vadība saņem jēgpilnus ziņojumus.
| Audita skatījums | Iespējamais audita jautājums | Pierādījumi, kas uz to atbild |
|---|---|---|
| ISO/IEC 27001:2022 auditors | Vai CI/CD ir iekļauts IDPS darbības jomā, risku izvērtēšanā, piemērojamības deklarācijā un darbības kontroles pasākumos? | IDPS darbības joma, risku reģistrs, SoA kartējums, politikas punkti, izvietošanas paraugi |
| ISO/IEC 27002:2022 kontroles pārskatītājs | Vai ir ieviests drošs SDLC, vides nodalīšana, piekļuves kontrole, izmaiņu pārvaldība un pierādījumu vākšana? | Atzaru aizsardzības politikas, vides akreditācijas dati, apstiprinājumi, artefaktu paraksti, žurnāli |
| NIS2 izvērtētājs | Vai vadība ir apstiprinājusi samērīgus pasākumus drošai izstrādei, piegādes ķēdei, piekļuves kontrolei, incidentu apstrādei un noturībai? | Valdes sanāksmes protokoli, riska apstrādes plāns, Article 21 kartējums, incidenta rokasgrāmata, piegādātāju ieraksti |
| DORA auditors | Vai konveijers atbalsta IKT risku pārvaldību, kontrolētas izmaiņas, uzraudzību, testēšanu, incidentu ziņošanu un IKT trešo pušu pārvaldību? | IKT aktīvu uzskaite, izmaiņu ieraksti, detekcijas žurnāli, incidentu klasifikācija, pakalpojumu sniedzēju reģistrs |
| GDPR pārskatītājs | Vai organizācija var pierādīt drošību un pārskatatbildību laidieniem, kas ietekmē personas datus? | Privātuma pārskatīšanas piezīmes, testa datu kontroles pasākumi, piekļuves žurnāli, pārkāpuma izvērtēšanas darbplūsma |
| NIST CSF 2.0 izvērtētājs | Kāds ir pašreizējais cauruļvada stāvoklis salīdzinājumā ar mērķa stāvokli, un kāds ir prioritizētais uzlabojumu plāns? | CSF profils, atšķirību analīze, POA&M, metrika, riska pieņemšanas ieraksti |
| COBIT 2019 vai ISACA auditors | Vai lomas, pienākumi, procesu kontroles pasākumi, veiktspējas rādītāji un apliecinājuma darbības ir definētas? | RACI, kontroles pasākumu īpašnieku saraksts, KPI un KRI pārskati, iekšējā audita rezultāti, izņēmumu reģistrs |
Biežākās CI/CD audita nepilnības un valdes līmeņa metrika
Lielākā daļa CI/CD audita konstatējumu ir paredzami. Pirmā problēma ir nesaistīti pierādījumi. Komandai ir Git žurnāli, konveijera žurnāli un izvietošanas žurnāli, bet nav viena izmaiņu ieraksta, kas tos savieno. Otrā problēma ir automatizācija ar pārmērīgām tiesībām, kur viens uzdevums var lasīt ražošanas noslēpumus, nosūtīt artefaktus, apstiprināt izvietošanas un mainīt konveijera definīcijas. Trešā problēma ir pastāvīgi koplietoti izpildes mezgli, kas rada piesārņošanas risku starp projektiem un pēc kompromitēšanas apgrūtina kriminālistiskās darbības jomas noteikšanu.
Citas biežas nepilnības ir neparakstīti vai pārrakstīti artefakti, neformālas skenēšanas apiešanas, piegādātāju pārredzamības trūkums un privātuma noplūdes žurnālos. Labs konveijers pieļauj izņēmumus, bet pieprasa apstiprinājumu, beigu termiņu, riska īpašnieku un pārskatīšanu.
Drošības vadītājiem nevajadzētu valdē ziņot tikai skeneru skaitu. Tā vietā jāziņo laidiena uzticamības metrika:
- Ražošanas izvietošanu īpatsvars, kas sasaistīts ar apstiprinātiem izmaiņu ierakstiem.
- Ražošanas artefaktu īpatsvars, kas ir parakstīti un izsekojami līdz pirmkoda izmaiņu ierakstiem.
- Izvietošanu skaits, kurās izmantoti izņēmumi vai ārkārtas apstiprinājumi.
- Priviliģētu CI/CD lietotāju īpatsvars ar MFA un nesenu piekļuves tiesību pārskatīšanu.
- Aktīvu ilgtermiņa izvietošanas akreditācijas datu skaits.
- Kritisko pakalpojumu īpatsvars, kas izmanto nocietinātus vai īslaicīgus izpildes mezglus.
- Vidējais laiks līdz konveijera noslēpumu atsaukšanai vai rotācijai pēc incidenta.
- Kritisko piegādātāju atkarību skaits, kas atbalsta programmatūras piegādi.
- Pierādījumu pilnīguma rādītājs auditā izlases veidā pārbaudītiem laidieniem.
Šie rādītāji atbalsta ISO/IEC 27001:2022 vadību, plānošanu un darbības kontroles pasākumus. Tie atbalsta arī NIS2 Article 20 vadības pārraudzību un DORA pārvaldības gaidas.
Padariet konveijeru auditējamu pirms incidenta
CI/CD konveijeru drošības pārvaldība 2026. gadā nav paredzēta inženierijas palēnināšanai. Tā ir paredzēta, lai programmatūras piegāde būtu uzticama, noturīga un pierādāma. Labākās programmas izmanto automatizāciju, lai paātrinātu pierādījumu vākšanu, nevis apietu pārvaldību.
Praktiska Clarysec ieviešana sākas ar trim darbībām.
- Izmantojiet Zenith Blueprint Zenith Blueprint, lai drošu DevOps, pirmkoda piekļuvi, vides nodalīšanu un izmaiņu pārvaldību iekļautu savā ISO/IEC 27001:2022 ieviešanas ceļakartē.
- Izmantojiet Zenith Controls Zenith Controls, lai kartētu CI/CD riskus pāri drošam SDLC, IKT piegādes ķēdei, piekļuves kontrolei, izmaiņu pārvaldībai, pierādījumu vākšanai, NIS2, DORA, GDPR, NIST CSF 2.0 un COBIT 2019 audita perspektīvām.
- Ieviesiet Clarysec politiku veidnes, tostarp Drošas izstrādes politika, Izmaiņu pārvaldības politika, Testa datu un testa vides politika, Drošas izstrādes politika SME, Žurnālfiksēšanas un uzraudzības politika SME un Digitālo pierādījumu iegūšanas un kriminālistikas politika SME, lai definētu, kas apstiprina laidienus, kā tiek izsekoti artefakti, kā tiek kontrolēti izpildes mezgli un kādi pierādījumi jāglabā.
Ja nākamā audita izlase sākas ar “parādiet ražošanas laidiena pēdu”, jūsu komandai jāspēj atbildēt minūtēs, nevis nedēļās. Tā ir atšķirība starp DevOps automatizāciju un pārvaldītu programmatūras piegādi.
Lejupielādējiet Clarysec politiku rīkkopu, pārskatiet savu CI/CD konveijeru pret Zenith Blueprint un Zenith Controls vai rezervējiet Clarysec novērtējumu, lai pārvērstu konveijeru no audita satraukuma avota par digitālās noturības stūrakmeni.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
