Ład bezpieczeństwa potoków CI/CD na potrzeby audytów w 2026 roku
Jest 08:17 w poniedziałek rano, gdy CISO rozwijającej się firmy fintech otrzymuje wiadomość, której obawia się każdy lider bezpieczeństwa:
„Kompilacja produkcyjna wygląda poprawnie, ale skrót artefaktu nie zgadza się z commitem źródłowym”.
W ciągu kilku minut zespół inżynierski potwierdza, że wydanie przeszło testy jednostkowe, zgłoszenie wdrożeniowe istnieje, a usługa dostępna dla klientów działa stabilnie. Potok pokazuje jednak inną historię. Samodzielnie hostowany runner CI został ponownie wykorzystany w kilku projektach. Tymczasowe dane uwierzytelniające do chmury pozostały aktywne dłużej, niż zakładano. Rejestr artefaktów pokazuje podpisany obraz kontenera, ale klucz podpisujący był dostępny z tego samego runnera, który wykonywał niezaufane skrypty budowania.
Menedżer wydania potrafi wykazać, że coś zostało wdrożone. Organizacja nie potrafi jednak wykazać — przynajmniej wystarczająco szybko — co zostało zbudowane, kto to zatwierdził, czy środowisko kompilacji było czyste oraz czy dowody przetrwałyby audyt lub dochodzenie incydentowe.
To nie jest już wyłącznie problem DevOps.
W 2026 roku ład bezpieczeństwa potoków CI/CD znajduje się na styku bezpieczeństwa łańcucha dostaw oprogramowania, odporności operacyjnej, rozliczalności w zakresie prywatności, bezpieczeństwa produktu oraz nadzoru nad ryzykiem cybernetycznym na poziomie zarządu. NIS2 wymaga od organów zarządzających zatwierdzania i nadzorowania środków zarządzania ryzykiem cyberbezpieczeństwa. DORA wymaga od podmiotów finansowych zarządzania ryzykiem ICT, incydentami, testowaniem i zależnościami od stron trzecich. GDPR wymaga od administratorów i podmiotów przetwarzających wykazania odpowiedniego bezpieczeństwa i rozliczalności dla danych osobowych. Cyber Resilience Act podnosi oczekiwania rynkowe wobec bezpiecznych produktów z elementami cyfrowymi, bezpiecznych aktualizacji i obsługi podatności. ISO/IEC 27001:2022 wymaga SZBI, który przekłada postępowanie z ryzykiem na kontrolowane, udokumentowane dowodowo operacje.
Potok stał się ścieżką audytową zaufania do nowoczesnego oprogramowania.
Nowe pytanie zgodności: czy potrafisz wykazać, co trafiło na produkcję?
Przez lata programy DevSecOps koncentrowały się na dodawaniu skanerów do potoków. Statyczna analiza kodu, sprawdzanie zależności, skanowanie sekretów, skanowanie kontenerów i walidacja infrastruktury jako kodu stały się powszechne. Te środki kontroli nadal mają znaczenie, ale nie odpowiadają na pytanie z zakresu ładu, które zadają dziś audytorzy, regulatorzy, klienci i zarządy:
Czy organizacja potrafi wykazać, że każde wdrożenie produkcyjne pochodziło z zatwierdzonego kodu źródłowego, zostało zbudowane w kontrolowanym środowisku, wytworzyło weryfikowalny artefakt, przeszło wymagane bramki bezpieczeństwa, użyło zatwierdzonych danych uwierzytelniających, było zgodne z procesem zarządzania zmianami i wygenerowało dowody możliwe do zachowania?
Atakujący wiedzą, że systemy budowania, zależności pakietów, tokeny programistów, runnery CI, automatyzacja wydań, rejestry artefaktów i role wdrożeniowe w chmurze są celami o wysokiej wartości. Skompromitowany potok może obejść tradycyjne mechanizmy ochrony, ponieważ wykorzystuje zaufaną automatyzację do wprowadzania złośliwego kodu do zaufanych środowisk.
Dojrzały model ładu bezpieczeństwa potoków CI/CD wymaga zatem sześciu filarów dowodowych.
| Filar dowodowy | Co wykazuje | Typowe dowody |
|---|---|---|
| Integralność źródła | Wdrożony artefakt pochodził z zatwierdzonego kodu źródłowego | Identyfikator commita, zabezpieczenia gałęzi, zatwierdzenia pull requestów, podpisane commity, logi audytowe repozytorium |
| Pochodzenie kompilacji | Artefakt został wytworzony przez znany potok w kontrolowanych warunkach | Identyfikator kompilacji, tożsamość runnera, receptura budowania, manifest zależności, skrót artefaktu, zapis podpisu |
| Utwardzanie runnerów | Środowisko wykonawcze nie mogło zostać łatwo ponownie wykorzystane ani zmanipulowane | Logi efemerycznych runnerów, obraz bazowy, status poprawek, środki izolacji, ograniczenia sieciowe |
| Integralność artefaktu | Pakiet wydania nie został zmieniony po kompilacji | Podpis, suma kontrolna, log rejestru, zapis promocji, polityka niemodyfikowalnych tagów |
| Ład wdrożeniowy | Zmiana była autoryzowana, przetestowana i możliwa do prześledzenia | Identyfikator wniosku o zmianę, dowód zatwierdzenia, logi promocji między środowiskami, plan wycofania zmian |
| Gotowość kryminalistyczna | Dowody można zachować podczas audytu lub reagowania na incydenty | Wyeksportowane logi, zrzuty ekranu, skróty plików, zapis łańcucha nadzoru |
W tym miejscu podejście Clarysec różni się od zgodności opartej na listach kontrolnych. Traktujemy platformę CI/CD jako objęty ładem proces biznesowy, a nie tylko narzędzie techniczne. Proces ten musi zostać ujęty w zakresie SZBI, poddany ocenie ryzyka, objęty środkami kontroli, monitorowany, audytowany i doskonalony.
Uwzględnij CI/CD w SZBI ISO/IEC 27001:2022
ISO/IEC 27001:2022 zaczyna się od kontekstu, stron zainteresowanych i zakresu. Klauzule 4.1 do 4.4 wymagają, aby organizacje rozumiały kwestie wewnętrzne i zewnętrzne, określały wymagania stron zainteresowanych, identyfikowały wymagania prawne, regulacyjne i umowne oraz definiowały zakres SZBI z uwzględnieniem zależności od innych organizacji.
Dla dostawcy SaaS, fintechu, dostawcy usług zarządzanych, producenta oprogramowania lub organizacji natywnej chmurowo CI/CD prawie zawsze znajduje się w tym zakresie, ponieważ bezpośrednio wpływa na świadczenie usług, dane klientów, infrastrukturę produkcyjną i zobowiązania umowne.
Klauzule 5.1 do 5.3 czynią kierownictwo odpowiedzialnym za SZBI. Ma to znaczenie, ponieważ nowoczesna automatyzacja wydań znajduje się pomiędzy inżynierią, bezpieczeństwem, operacjami chmurowymi, zakupami, zgodnością i zarządzaniem produktem. Jeżeli żaden przedstawiciel kierownictwa wykonawczego nie jest właścicielem apetytu na ryzyko dla automatyzacji wdrożeń produkcyjnych, organizacja zwykle kończy z rozproszonymi narzędziami i niespójnymi dowodami.
Klauzule 6.1.1 do 6.1.3 zapewniają podstawę planowania. Organizacja musi oceniać ryzyka dla poufności, integralności i dostępności, identyfikować właścicieli ryzyka, porównywać ryzyka z kryteriami, wybierać sposoby postępowania z ryzykiem, porównywać wybrane środki kontroli z załącznikiem A, opracować Deklarację stosowania oraz uzyskać zatwierdzenie planu postępowania z ryzykiem i ryzyka szczątkowego.
Ocena ryzyka CI/CD nie powinna ograniczać się do stwierdzenia „ryzyko łańcucha dostaw oprogramowania”. Powinna wskazywać realistyczne scenariusze:
- Złośliwy skrypt budowania eksfiltruje klucze podpisujące ze współdzielonego runnera.
- Programista omija zabezpieczenia gałęzi i wdraża kod bez przeglądu.
- Skompromitowana akcja strony trzeciej modyfikuje artefakt podczas kompilacji.
- Dane uwierzytelniające środowiska stagingowego zapewniają dostęp do środowiska produkcyjnego.
- Wdrożenie odbywa się bez powiązanego wniosku o zmianę.
- Logi potoku potrzebne do rekonstrukcji incydentu są nadpisywane po siedmiu dniach.
- Incydent zatrucia zależności dociera do środowiska przedprodukcyjnego lub produkcyjnego.
Klauzula 8.1 wymaga następnie planowanego i kontrolowanego działania procesów SZBI, udokumentowanych dowodów, kontroli planowanych zmian, przeglądu niezamierzonych zmian oraz kontroli procesów, produktów lub usług dostarczanych zewnętrznie, które są istotne dla SZBI. Jeżeli potok zmienia produkcję, musi generować dowody kontrolowanego działania.
Model środków kontroli Clarysec dla bezpiecznego dostarczania oprogramowania
Clarysec łączy polityki, środki kontroli i dowody audytowe. Zenith Blueprint: 30-etapowa mapa drogowa audytora Zenith Blueprint umieszcza bezpieczny DevOps i bezpieczne wytwarzanie oprogramowania w fazie zarządzania ryzykiem, w kroku 14. Wskazuje, że organizacje powinny zabezpieczać narzędzia CI/CD, zapewniać, aby tylko uprawniony personel mógł uruchamiać wdrożenia, stosować MFA dla dostępu do potoku, chronić integralność artefaktów budowania oraz rejestrować i monitorować działania CI/CD.
„Środki kontroli potoku DevOps: narzędzia CI/CD muszą być zabezpieczone — tylko uprawniony personel może uruchamiać wdrożenia; należy stosować MFA dla dostępu do potoku; należy chronić integralność artefaktów budowania. Należy rejestrować i monitorować działania CI/CD”.
Te wytyczne stają się operacyjne po przełożeniu na klauzule polityk i wymagania dowodowe.
P24 Polityka bezpiecznego rozwoju oprogramowania Polityka bezpiecznego rozwoju oprogramowania stanowi:
„Artefakty budowania muszą być podpisane i możliwe do prześledzenia do commitów źródłowych”.
To jeden z najsilniejszych środków kontroli w programie ładu CI/CD. Informuje zespół inżynierski, że artefakt produkcyjny musi mieć weryfikowalną linię pochodzenia prowadzącą do kontroli kodu źródłowego. Informuje również audytorów, co należy przetestować: wybrać wydanie produkcyjne, sprawdzić podpis artefaktu, zwalidować odniesienie do commita, przejrzeć zatwierdzenie pull requestu i potwierdzić zapis kompilacji w potoku.
Ta sama polityka stanowi:
„Wszystkie działania rozwojowe muszą być śledzone w zatwierdzonych systemach kontroli wersji z wymuszonymi kontrolami dostępu, ścieżkami audytowymi i zabezpieczeniami gałęzi”.
To przesuwa ład w górę procesu. Jeżeli repozytoria źródłowe nie są chronione, pochodzenie kompilacji jest słabe. Jeżeli zabezpieczenia gałęzi można ominąć, potok może wiernie zbudować niezatwierdzony kod. Jeżeli ścieżki audytowe są wyłączone, rekonstrukcja incydentu opiera się na pamięci i zrzutach ekranu, a nie na dowodach.
Dla mniejszych organizacji Polityka bezpiecznego rozwoju oprogramowania dla MŚP Polityka bezpiecznego rozwoju oprogramowania dla MŚP zawiera pragmatyczne wymaganie minimalne:
„Śledzenie wersji kodu, daty wdrożenia i osoby zatwierdzającej”.
Taki prosty rejestr wdrożeń jest mocnym punktem startowym. Wiele MŚP nie potrzebuje rozbudowanego ładu wydań od pierwszego dnia, ale musi wiedzieć, jaka wersja trafiła na produkcję, kiedy i kto ją zatwierdził.
Polityka dla MŚP stanowi również:
„Dostęp do narzędzi lub systemów wdrożeń produkcyjnych musi być kontrolowany, rejestrowany i okresowo przeglądany przez dyrektora zarządzającego lub dostawcę IT”.
To etap ładu, który często pomijają mniejsze zespoły. Platforma CI/CD z danymi uwierzytelniającymi do środowiska produkcyjnego w chmurze jest uprzywilejowaną ścieżką dostępu do produkcji.
Trzy obszary środków kontroli ISO/IEC 27002:2022 stojące za bezpiecznym CI/CD
Zenith Controls: przewodnik po zgodności międzyramowej Zenith Controls to kompas Clarysec do mapowania oficjalnych norm i frameworków na praktyczne relacje między środkami kontroli. Dla ładu bezpieczeństwa potoków CI/CD kluczowe są trzy obszary środków kontroli ISO/IEC 27002:2022.
| Środek kontrolny ISO/IEC 27002:2022 | Rola w ładzie CI/CD | Powiązane środki kontroli i dowody |
|---|---|---|
| 5.21 Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw ICT | Obejmuje nadzorem platformy CI/CD, działania stron trzecich, repozytoria pakietów, chmurowe usługi budowania, rejestry i rozwój realizowany w modelu outsourcingowym | Due diligence dostawców, umowne wymagania bezpieczeństwa, logi dostawcy, inwentarze zależności |
| 8.25 Bezpieczny cykl życia wytwarzania oprogramowania | Wbudowuje bezpieczeństwo w wymagania, projektowanie, kodowanie, budowanie, testowanie i wydanie | Bezpieczna architektura, bezpieczne kodowanie, testy bezpieczeństwa, podpisywanie artefaktów, dowody wydania |
| 8.32 Zarządzanie zmianami | Zapewnia, że wdrożenia są zamierzone, uzasadnione, zatwierdzone i możliwe do prześledzenia audytowo | Identyfikator wniosku o zmianę, zatwierdzenie, log wdrożenia, plan wycofania zmian, zapis zmiany awaryjnej |
Zenith Controls opisuje 5.21 jako kontrolę zapobiegawczą wspierającą poufność, integralność i dostępność, przy czym bezpieczeństwo relacji z dostawcami jest kluczową zdolnością operacyjną. Pasuje to do CI/CD, ponieważ nowoczesne potoki zależą od usług zewnętrznych: platform kontroli kodu źródłowego, hostowanych runnerów, rejestrów kontenerów, repozytoriów pakietów open source, zewnętrznych akcji GitHub, narzędzi skanujących, interfejsów API wdrożeń chmurowych i zewnętrznych programistów.
W mapowaniu 5.21 Zenith Controls wiąże bezpieczeństwo łańcucha dostaw ICT z 5.19 Bezpieczeństwo informacji w relacjach z dostawcami, 5.20 Uwzględnianie bezpieczeństwa informacji w umowach z dostawcami, 8.27 Zasady bezpiecznej architektury i inżynierii systemów, 8.28 Bezpieczne kodowanie, 8.29 Testowanie bezpieczeństwa w rozwoju i akceptacji, 5.15 Kontrola dostępu, 5.28 Gromadzenie dowodów, 8.25 Bezpieczny cykl życia wytwarzania oprogramowania oraz 8.30 Rozwój realizowany w modelu outsourcingowym.
Dla 8.25 Zenith Controls identyfikuje bezpieczny cykl życia wytwarzania oprogramowania jako kontrolę zapobiegawczą chroniącą poufność, integralność i dostępność. Łączy wymagania bezpieczeństwa, architekturę, kodowanie, testowanie, rozwój realizowany w modelu outsourcingowym oraz 8.31 Separację środowisk rozwojowych, testowych i produkcyjnych.
Dla 8.32 Zenith Controls przedstawia zarządzanie zmianami jako pomost między rozwojem a operacjami. Odnosi je do 8.9 Zarządzania konfiguracją, 8.8 Zarządzania podatnościami technicznymi, bezpiecznego SDLC i reagowania na incydenty. Dlatego automatyzacja wdrożeń nie może pozostawać poza ładem zmian. To mechanizm, za pomocą którego zachodzą zmiany produkcyjne.
Pochodzenie kompilacji: historia wydania, którą audytorzy mogą prześledzić
Pochodzenie kompilacji to zdolność do udzielenia, na podstawie dowodów, odpowiedzi na pytanie, skąd pochodzi artefakt oprogramowania i jak został wytworzony. Silny zapis pochodzenia opowiada historię wydania:
- Które repozytorium źródłowe i commit zostały użyte.
- Która gałąź lub tag uruchomiły kompilację.
- Który pull request, recenzent i zatwierdzenie zostały powiązane.
- Która definicja potoku została wykonana.
- Który runner wykonał zadanie.
- Które zależności i obrazy bazowe zostały użyte.
- Które testy i bramki bezpieczeństwa zostały uruchomione.
- Jaki artefakt został wytworzony.
- Jaki podpis lub skrót został wygenerowany.
- Które wdrożenie wykorzystało artefakt.
P05 Polityka zarządzania zmianami Polityka zarządzania zmianami zapewnia powiązanie ładu. Stanowi:
„Zmiany realizowane narzędziowo nadal muszą być zgodne z niniejszą polityką i możliwe do prześledzenia do odpowiedniego identyfikatora wniosku o zmianę”.
To odpowiada na powszechny argument, że zautomatyzowane wdrożenia nie potrzebują zgłoszeń zmian. Automatyzacja nie usuwa ładu zmian. Zmienia sposób generowania dowodów.
Ta sama polityka stanowi:
„Wszystkie wnioski o zmianę, przeglądy, zatwierdzenia i dowody wspierające muszą być rejestrowane w scentralizowanym systemie zarządzania zmianami”.
W praktyce system zarządzania zmianami powinien być indeksem, a nie miejscem zrzutu wszystkich materiałów. Zgłoszenie powinno wskazywać repozytorium źródłowe, przebieg kompilacji, podpis artefaktu, log wdrożenia i plan wycofania zmian. Szczegółowe dowody mogą pozostać w narzędziach inżynierskich, jeżeli zdefiniowano okres przechowywania, kontrolę dostępu i możliwość eksportu.
| Pytanie kontrolne | Dowody do przechowywania | Właściciel |
|---|---|---|
| Czy źródło zostało zatwierdzone? | Zatwierdzenie pull requestu, ustawienia zabezpieczeń gałęzi, tożsamość recenzenta | Kierownik inżynierii |
| Czy kompilacja była kontrolowana? | Identyfikator przebiegu kompilacji, identyfikator runnera, wersja definicji potoku, logi zadań | DevOps |
| Czy artefakt był możliwy do prześledzenia? | Skrót artefaktu, podpis, odniesienie do commita źródłowego, metadane rejestru | Zespół platformowy |
| Czy uruchomiono bramki bezpieczeństwa? | Wyniki skanów SAST, SCA, kontenerów, DAST i IaC, zatwierdzenia odstępstw | Bezpieczeństwo |
| Czy wdrożenie zostało autoryzowane? | Identyfikator wniosku o zmianę, osoba zatwierdzająca, okno wdrożeniowe, plan wycofania zmian | Menedżer zmian |
| Czy dowody można zachować? | Wyeksportowane logi, zrzuty ekranu, skróty, zapis łańcucha nadzoru | Bezpieczeństwo lub zgodność |
Utwardzanie runnerów: pomijana kontrola produkcyjna
Runnery CI/CD często traktuje się jako infrastrukturę jednorazową, ale są to środowiska wykonawcze wysokiego ryzyka. Runner może mieć dostęp do kodu źródłowego, sekretów, cache kompilacji, repozytoriów pakietów, kluczy podpisujących, rejestrów artefaktów i ról wdrożeniowych w chmurze. Jeżeli jest trwały, współdzielony, nadmiernie uprzywilejowany lub słabo monitorowany, staje się uprzywilejowanym punktem pivot.
Bezpieczne stanowisko ładu jest proste: runnery, które budują lub wdrażają kod produkcyjny, muszą być utwardzane jak infrastruktura produkcyjna.
| Obszar utwardzania runnerów | Oczekiwany środek kontroli | Dowód audytowy |
|---|---|---|
| Izolacja | Stosowanie efemerycznych runnerów dla wrażliwych kompilacji i unikanie współdzielenia pomiędzy granicami zaufania | Logi cyklu życia runnerów, ustawienia grup runnerów |
| Bezpieczeństwo danych uwierzytelniających | Stosowanie krótkotrwałych danych uwierzytelniających i tożsamości workload zamiast długotrwałych sekretów | Konfiguracja tożsamości, ustawienia wygaśnięcia tokenów, logi rotacji sekretów |
| Zasada najmniejszych uprawnień | Rozdzielenie ról budowania, testowania, podpisywania i wdrażania | Definicje ról, przeglądy dostępu, eksporty uprawnień |
| Kontrola sieci | Ograniczenie dostępu wychodzącego i blokowanie zbędnej łączności z produkcją | Reguły zapory sieciowej, eksporty polityk sieciowych, logi ruchu wychodzącego |
| Integralność stanu bazowego | Wdrażanie poprawek do obrazów runnerów i rejestrowanie zatwierdzonych wersji | Inwentarz obrazów, raporty poprawek, skróty obrazów budowania |
| Ochrona cache | Zapobieganie przenikaniu między projektami przez cache kompilacji | Polityka cache, ustawienia izolacji projektów |
| Monitorowanie | Rejestrowanie działań administracyjnych, zmian konfiguracji i anomalii zadań | Logi audytowe CI/CD, zdarzenia SIEM, zapisy alertów |
Polityka danych testowych i środowisk testowych Polityka danych testowych i środowisk testowych stanowi:
„Integracja z potokami CI/CD musi wymuszać separację środowisk i danych uwierzytelniających”.
Runner, który może wdrażać do środowiska stagingowego i produkcyjnego z tym samym modelem danych uwierzytelniających, narusza separację środowisk w sensie kontrolnym, nawet jeśli infrastruktura jest logicznie oddzielona. Clarysec zwykle rekomenduje odrębne tożsamości wdrożeniowe dla każdego środowiska, odrębne bramki zatwierdzania dla produkcji oraz jawne środki kontroli uniemożliwiające zadaniom z niższych środowisk dostęp do sekretów produkcyjnych.
Zenith Blueprint, faza „Środki kontroli w praktyce”, krok 21, wzmacnia to przez separację środowisk rozwojowych, testowych i produkcyjnych:
„Jeżeli stosowane jest CI/CD, potwierdź, że promocja wdrożenia między środowiskami jest kontrolowana i wymaga przeglądu lub zatwierdzenia. Udokumentuj to w swojej procedurze zarządzania środowiskami i wykonaj zrzuty ekranu lub eksporty z konsoli jako potwierdzenie”.
W rzeczywistym audycie oznacza to, że audytor nie powinien zobaczyć wyłącznie diagramu. Powinien zobaczyć eksporty z konsoli pokazujące dane uwierzytelniające specyficzne dla środowisk, chronione środowiska wdrożeniowe, bramki zatwierdzania oraz logi dowodzące, że promocja była kontrolowana.
Dowody wdrożenia: artefakt zgodności widoczny na pierwszy rzut oka, ale często pomijany
Najbardziej dojrzałe zespoły DevSecOps nie traktują gromadzenia dowodów jako kwartalnej mobilizacji. Projektują potoki tak, aby generowały dowody automatycznie.
Polityka logowania i monitorowania dla MŚP Polityka logowania i monitorowania dla MŚP wskazuje istotne zdarzenia logowania jako:
„Logi systemowe: zmiany konfiguracji, działania administracyjne, instalacje oprogramowania, aktywność związana z wdrażaniem poprawek”.
Systemy CI/CD generują wszystkie cztery kategorie. Zmiany konfiguracji potoku wpływają na sposób budowania oprogramowania. Działania administracyjne zmieniają, kto może zatwierdzać lub wdrażać. Instalacje oprogramowania zachodzą w obrazach budowania i celach wdrożeniowych. Aktywność związana z poprawkami może przepływać przez zautomatyzowane procesy wydań. Zdarzenia te powinny być logowane, przechowywane i przeglądane odpowiednio do ryzyka.
Dla gotowości dochodzeniowej P31S Polityka zabezpieczania materiału dowodowego i informatyki śledczej dla MŚP Polityka zabezpieczania materiału dowodowego i informatyki śledczej dla MŚP stanowi:
„Zrzuty ekranu, wyeksportowane logi i skróty plików muszą być przechowywane razem z plikiem łańcucha nadzoru”.
Jest to szczególnie ważne po podejrzeniu kompromitacji potoku. Same zrzuty ekranu są słabym dowodem. Logi bez skrótów mogą zostać zakwestionowane. Plik łańcucha nadzoru bez odniesień źródłowych jest niekompletny.
Możliwy do obrony zapis wdrożenia produkcyjnego powinien obejmować poniższe elementy.
| Element dowodowy | Minimalna treść | Źródło podstawowe | Wartość dla zgodności |
|---|---|---|---|
| Wniosek o zmianę | Potrzeba biznesowa, poziom ryzyka, zatwierdzenie, identyfikator zmiany, plan wycofania zmian | JIRA, ServiceNow, zgłoszenie Git | ISO 27002 8.32, DORA Article 9 |
| Zapis źródłowy | Repozytorium, commit, gałąź, zatwierdzenia pull requestu | Git, GitHub, GitLab, Azure DevOps | ISO 27002 8.25, NIS2 Article 21 |
| Zapis kompilacji | Identyfikator potoku, identyfikator runnera, logi kompilacji, dane zależności | Platforma CI/CD | ISO 27002 8.25, dowody łańcucha dostaw ICT |
| Atestacja pochodzenia kompilacji | Podpisany zapis danych wejściowych kompilacji, środowiska i procesu | Narzędzie CI/CD, workflow zgodny z SLSA | ISO 27002 5.21, wsparcie CRA Annex I |
| Zapis bramki bezpieczeństwa | Wyniki skanów SAST, SCA, DAST, kontenerów i IaC | Narzędzia bezpieczeństwa, logi potoku | ISO 27002 8.29, DORA Article 9 |
| Zapis artefaktu | Skrót, podpis, ścieżka w rejestrze, niemodyfikowalny digest | Rejestr artefaktów | ISO 27002 8.25, dowody bezpiecznej aktualizacji CRA |
| Zapis wdrożenia | Środowisko, aktor, znacznik czasu, zatwierdzenie produkcyjne | GitOps, platforma wdrożeniowa | ISO 27002 8.32, DORA Article 10 |
| Zapis monitorowania | Kontrole stanu i anomalii po wdrożeniu | SIEM, platforma obserwowalności | Oczekiwania DORA dotyczące wykrywania i reagowania |
| Zachowanie dowodów | Wyeksportowane logi, zrzuty ekranu, skróty, zapis powierzenia | Repozytorium materiału dowodowego | ISO 27002 5.28, dochodzenie incydentowe |
Taki pakiet przekształca CI/CD z serii technicznych kroków w historię ładu, kontroli i należytej staranności.
Mapowanie ładu CI/CD na NIS2, DORA, GDPR i CRA
NIS2 ma zastosowanie do wielu podmiotów kluczowych i ważnych, w tym infrastruktury cyfrowej, zarządzania usługami ICT oraz organizacji dostawców usług cyfrowych, jeśli spełnione są kryteria. Article 20 jest szczególnie istotny, ponieważ ustanawia obowiązki cyberbezpieczeństwa na poziomie kierownictwa. Organy zarządzające muszą zatwierdzać środki zarządzania ryzykiem cyberbezpieczeństwa, nadzorować ich wdrożenie i odbywać szkolenia.
Article 21 zapewnia bazowy poziom zarządzania ryzykiem. Wymaga odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych obejmujących analizę ryzyka, polityki, obsługę incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczne pozyskiwanie, rozwój i utrzymanie, obsługę podatności, ocenę skuteczności, cyberhigienę, kryptografię, bezpieczeństwo HR, kontrolę dostępu, zarządzanie aktywami i MFA tam, gdzie jest to właściwe.
| Temat NIS2 Article 21 | Interpretacja dla ładu CI/CD |
|---|---|
| Analiza ryzyka i polityki | Modelowanie zagrożeń potoku, polityka bezpiecznego rozwoju oprogramowania, ocena ryzyka runnerów |
| Obsługa incydentów | Podręcznik postępowania dla kompromitacji potoku, unieważnianie artefaktów, kontrola wydań awaryjnych |
| Ciągłość działania | Odzyskiwanie kontroli kodu źródłowego, rejestru artefaktów i automatyzacji wdrożeń |
| Bezpieczeństwo łańcucha dostaw | Działania stron trzecich, pakiety, rozwój realizowany w modelu outsourcingowym, zależności rejestru |
| Bezpieczny rozwój i utrzymanie | Bezpieczny SDLC, przegląd kodu, testowanie, obsługa podatności |
| Ocena skuteczności | Testowanie środków kontroli potoku, próbkowanie audytowe, metryki i odstępstwa |
| Kontrola dostępu i MFA | Repozytorium, administrator CI/CD, rejestracja runnerów, role wdrożeń produkcyjnych |
| Kryptografia | Podpisywanie artefaktów, ochrona sekretów, zarządzanie kluczami |
Article 23 dodaje etapowe zgłaszanie znaczących incydentów, w tym wczesne ostrzeżenie w ciągu 24 godzin od uzyskania świadomości, zgłoszenie incydentu w ciągu 72 godzin oraz raport końcowy nie później niż miesiąc po zgłoszeniu incydentu. Jeżeli kompromitacja CI/CD mogłaby spowodować poważne zakłócenie operacyjne, stratę finansową lub istotną szkodę dla innych, proces klasyfikacji incydentów musi być gotowy przed incydentem.
Dla podmiotów finansowych DORA ma zastosowanie od 17 stycznia 2025 r. i obejmuje zarządzanie ryzykiem ICT, zgłaszanie incydentów, testowanie odporności, wymianę informacji, zarządzanie ryzykiem ICT stron trzecich oraz wymagania umowne. Article 5 wymaga wewnętrznych ram ładu i kontroli dla ryzyka ICT, z odpowiedzialnością organu zarządzającego. Article 6 wymaga udokumentowanych ram zarządzania ryzykiem ICT zintegrowanych z ogólnym zarządzaniem ryzykiem.
Articles 8 do 14 mapują się bezpośrednio na ład potoków CI/CD. Podmioty finansowe muszą identyfikować i klasyfikować funkcje biznesowe wspierane przez ICT, aktywa, zależności, zagrożenia i podatności. Muszą chronić systemy ICT poprzez polityki, kontrolę dostępu, silne uwierzytelnianie, ochronę kluczy kryptograficznych, kontrolowane zarządzanie zmianami ICT, wdrażanie poprawek i segmentację. Muszą wykrywać anomalie, reagować, odzyskiwać i uczyć się z incydentów.
Articles 28 do 30 są równie ważne, ponieważ platformy CI/CD, dostawcy kontroli kodu źródłowego, rejestry artefaktów, chmurowe systemy budowania i zewnętrzni programiści mogą być zależnościami ICT od stron trzecich. DORA oczekuje due diligence, zabezpieczeń umownych, oceny ryzyka koncentracji, praw do audytu i inspekcji, przesłanek rozwiązania umowy, strategii wyjścia oraz klauzul poziomu usług.
GDPR dodaje perspektywę rozliczalności. Article 5 wymaga, aby dane osobowe były przetwarzane zgodnie z prawem, rzetelnie, przejrzyście, w określonych celach, w sposób zminimalizowany, dokładny, przechowywane tylko tak długo, jak jest to potrzebne, oraz chronione przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem i przypadkową utratą, zniszczeniem lub uszkodzeniem. Article 5(2) wymaga od administratora wykazania zgodności.
Potoki CI/CD mają znaczenie dla GDPR, ponieważ programiści mogą używać danych produkcyjnych w środowiskach testowych, logi potoku mogą ujawniać dane osobowe lub tokeny, wydania mogą zmieniać logikę przetwarzania, a skompromitowane artefakty mogą spowodować naruszenia ochrony danych osobowych. Jeżeli zmiany w oprogramowaniu wpływają na środki kontroli prywatności, zapis zmiany powinien ujmować wpływ na prywatność. Jeżeli incydent potoku powoduje nieuprawniony dostęp do danych osobowych, ocena naruszenia musi być powiązana z obsługą incydentu.
Oczekiwania CRA dodają bezpieczeństwo produktu i dowody bezpiecznych aktualizacji. W przypadku producentów i dostawców oprogramowania wprowadzających produkty z elementami cyfrowymi na rynek UE klienci coraz częściej oczekują akt bezpieczeństwa produktu, dowodów obsługi podatności, środków kontroli bezpiecznych aktualizacji i integralności wydań. Ład CI/CD dostarcza znaczną część tych dowodów poprzez identyfikowalność źródła, podpisane artefakty, wyniki skanowania podatności, informacje o wydaniu, poprawki bezpieczeństwa i zapisy dystrybucji aktualizacji.
NIST CSF 2.0 i COBIT 2019: perspektywa audytu poza ISO
NIST CSF 2.0 zapewnia warstwę integracyjną dla ładu cyberbezpieczeństwa. Jego Core, Organizational Profiles i Tiers pomagają organizacjom zrozumieć obecny i docelowy profil ryzyka, priorytetyzować działania dostosowane do wymagań prawnych i regulacyjnych oraz komunikować ryzyko cybernetyczne.
Dla CI/CD Clarysec często tworzy profil potoku dostarczania oprogramowania. Current Profile opisuje, jak dziś działają kontrola kodu źródłowego, runnery, podpisywanie artefaktów i zatwierdzanie wdrożeń. Target Profile definiuje wymagany stan dla operacji regulowanych. Plan luk staje się mapą drogową wdrożenia.
Funkcja NIST GOVERN jest szczególnie istotna. GV.OC-03 wymaga, aby prawne, regulacyjne i umowne wymagania cyberbezpieczeństwa były rozumiane i zarządzane. GV.RM obejmuje apetyt na ryzyko i ustandaryzowaną priorytetyzację ryzyka. GV.RR przypisuje rozliczalność kierownictwa, role i zasoby. GV.PO wymaga ustanawiania, egzekwowania, przeglądu i aktualizacji polityk ryzyka cyberbezpieczeństwa. GV.OV obejmuje nadzór i ocenę wyników.
Audytor stosujący COBIT 2019 lub podejście ISACA często mniej koncentruje się na kryptograficznych szczegółach podpisywania artefaktów, a bardziej na projekcie ładu. Będzie pytać, czy zdefiniowano własność, czy umożliwianie zmian jest kontrolowane, czy usługi stron trzecich są zarządzane pod kątem ryzyka, czy monitorowanie zapewnia uzasadnione zapewnienie, czy wyjątki są zatwierdzane oraz czy kierownictwo otrzymuje istotne raportowanie.
| Perspektywa audytu | Prawdopodobne pytanie audytowe | Dowody odpowiadające na pytanie |
|---|---|---|
| Audytor ISO/IEC 27001:2022 | Czy CI/CD jest ujęte w zakresie SZBI, ocenie ryzyka, Deklaracji stosowania i kontrolach operacyjnych? | Zakres SZBI, rejestr ryzyk, mapowanie Deklaracji stosowania (SoA), klauzule polityk, próbki wdrożeń |
| Recenzent środków kontroli ISO/IEC 27002:2022 | Czy wdrożono bezpieczny SDLC, separację środowisk, kontrolę dostępu, zarządzanie zmianami i gromadzenie dowodów? | Zabezpieczenia gałęzi, dane uwierzytelniające środowisk, zatwierdzenia, podpisy artefaktów, logi |
| Asesor NIS2 | Czy kierownictwo zatwierdziło proporcjonalne środki dla bezpiecznego rozwoju oprogramowania, łańcucha dostaw, kontroli dostępu, obsługi incydentów i odporności? | Protokoły zarządu, plan postępowania z ryzykiem, mapowanie Article 21, podręcznik incydentowy, rejestry dostawców |
| Audytor DORA | Czy potok wspiera zarządzanie ryzykiem ICT, kontrolowaną zmianę, monitorowanie, testowanie, zgłaszanie incydentów i ład ICT stron trzecich? | Inwentarz aktywów ICT, zapisy zmian, logi wykrywania, klasyfikacja incydentów, rejestr dostawców |
| Recenzent GDPR | Czy organizacja potrafi wykazać bezpieczeństwo i rozliczalność wydań wpływających na dane osobowe? | Notatki z przeglądu prywatności, kontrole danych testowych, logi dostępu, workflow oceny naruszenia |
| Asesor NIST CSF 2.0 | Jaki jest obecny i docelowy profil potoku oraz priorytetowy plan doskonalenia? | Profil CSF, analiza luk, POA&M, metryki, zapisy akceptacji ryzyka |
| Audytor COBIT 2019 lub ISACA | Czy role, odpowiedzialności, kontrole procesowe, miary skuteczności działania i działania zapewniające są zdefiniowane? | RACI, lista właścicieli kontroli, raporty KPI i KRI, wyniki audytu wewnętrznego, rejestr wyjątków |
Typowe niepowodzenia audytowe CI/CD i metryki dla zarządu
Większość ustaleń audytowych dotyczących CI/CD jest przewidywalna. Pierwszym problemem są niepowiązane dowody. Zespół ma logi Git, logi potoku i logi wdrożeń, ale żaden pojedynczy zapis zmiany ich nie łączy. Drugim jest nadmiernie uprzywilejowana automatyzacja, w której jedno zadanie może odczytywać sekrety produkcyjne, wypychać artefakty, zatwierdzać wdrożenia i modyfikować definicje potoku. Trzecim są trwałe współdzielone runnery, które tworzą ryzyko przenikania między projektami i utrudniają określenie zakresu dochodzenia po kompromitacji.
Inne częste niepowodzenia obejmują niepodpisane lub nadpisane artefakty, nieformalne obejścia wyników skanowania, brak widoczności dostawców oraz wycieki prywatności w logach. Dobry potok dopuszcza odstępstwa, ale wymaga ich zatwierdzenia, terminu wygaśnięcia, właściciela ryzyka i przeglądu.
Liderzy bezpieczeństwa powinni unikać raportowania zarządowi wyłącznie liczby skanów. Zamiast tego należy raportować metryki zaufania do wydań:
- Odsetek wdrożeń produkcyjnych powiązanych z zatwierdzonymi zapisami zmian.
- Odsetek artefaktów produkcyjnych podpisanych i możliwych do prześledzenia do commitów źródłowych.
- Liczba wdrożeń wykorzystujących odstępstwa lub zatwierdzenia awaryjne.
- Odsetek uprzywilejowanych użytkowników CI/CD z MFA i aktualnym przeglądem dostępu.
- Liczba aktywnych długotrwałych danych uwierzytelniających do wdrożeń.
- Odsetek usług krytycznych używających utwardzonych lub efemerycznych runnerów.
- Średni czas unieważnienia lub rotacji sekretów potoku po incydencie.
- Liczba krytycznych zależności od dostawców wspierających dostarczanie oprogramowania.
- Wskaźnik kompletności dowodów dla wydań wybranych do próby audytowej.
Te metryki wspierają przywództwo, planowanie i kontrolę operacyjną ISO/IEC 27001:2022. Wspierają również nadzór kierownictwa wymagany przez NIS2 Article 20 oraz oczekiwania DORA dotyczące ładu.
Uczyń swój potok audytowalnym przed incydentem
Ład bezpieczeństwa potoków CI/CD w 2026 roku nie polega na spowalnianiu inżynierii. Polega na uczynieniu dostarczania oprogramowania godnym zaufania, odpornym i możliwym do wykazania. Najlepsze programy wykorzystują automatyzację do przyspieszenia gromadzenia dowodów, a nie do omijania ładu.
Praktyczne wdrożenie Clarysec zaczyna się od trzech działań.
- Użyj Zenith Blueprint Zenith Blueprint, aby umieścić bezpieczny DevOps, dostęp do kodu źródłowego, separację środowisk i zarządzanie zmianami w swojej mapie drogowej wdrożenia ISO/IEC 27001:2022.
- Użyj Zenith Controls Zenith Controls, aby zmapować ryzyka CI/CD w perspektywach audytowych bezpiecznego SDLC, łańcucha dostaw ICT, kontroli dostępu, zarządzania zmianami, gromadzenia dowodów, NIS2, DORA, GDPR, NIST CSF 2.0 i COBIT 2019.
- Wdróż szablony polityk Clarysec, w tym Politykę bezpiecznego rozwoju oprogramowania, Politykę zarządzania zmianami, Politykę danych testowych i środowisk testowych, Politykę bezpiecznego rozwoju oprogramowania dla MŚP, Politykę logowania i monitorowania dla MŚP oraz Politykę zabezpieczania materiału dowodowego i informatyki śledczej dla MŚP, aby określić, kto zatwierdza wydania, jak śledzone są artefakty, jak kontrolowane są runnery i jakie dowody muszą być przechowywane.
Jeżeli kolejna próba audytowa rozpocznie się od słów „proszę pokazać ślad wydania produkcyjnego”, zespół powinien umieć odpowiedzieć w ciągu minut, a nie tygodni. To różnica między automatyzacją DevOps a objętym ładem dostarczaniem oprogramowania.
Pobierz zestaw narzędzi polityk Clarysec, przejrzyj swój potok CI/CD względem Zenith Blueprint i Zenith Controls albo zarezerwuj ocenę Clarysec, aby przekształcić potok ze źródła obaw audytowych w fundament odporności cyfrowej.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
