Riadenie bezpečnosti CI/CD pipeline pre audity v roku 2026
Je pondelok 08:17 a CISO rýchlo rastúcej fintech spoločnosti dostane správu, ktorej sa obáva každý bezpečnostný líder:
„Produkčné zostavenie vyzerá čisto, ale hash artefaktu nezodpovedá zdrojovému commitu.“
V priebehu niekoľkých minút vývojový tím potvrdí, že vydanie prešlo jednotkovými testami, ticket nasadenia existuje a služba pre zákazníkov je stabilná. Pipeline však hovorí iný príbeh. Self-hosted CI runner bol opätovne použitý naprieč projektmi. Dočasné cloudové poverenie zostalo aktívne dlhšie, než bolo zamýšľané. Register artefaktov zobrazuje podpísaný kontajnerový obraz, ale podpisový kľúč bol dostupný z toho istého runnera, ktorý spúšťal nedôveryhodné build skripty.
Release manažér vie preukázať, že niečo bolo nasadené. Organizácia však nevie, aspoň nie dostatočne rýchlo, preukázať, čo bolo zostavené, kto to schválil, či bolo prostredie zostavenia čisté a či by dôkazy obstáli pri audite alebo vyšetrovaní incidentu.
To už nie je iba problém DevOps.
V roku 2026 je riadenie bezpečnosti CI/CD pipeline na priesečníku bezpečnosti softvérového dodávateľského reťazca, prevádzkovej odolnosti, preukázateľnej zodpovednosti za ochranu súkromia, bezpečnosti produktov a dohľadu nad kybernetickým rizikom na úrovni riadiaceho orgánu. NIS2 vyžaduje, aby riadiace orgány schvaľovali opatrenia riadenia kybernetických rizík a dohliadali na ne. DORA vyžaduje od finančných subjektov riadenie rizík IKT, incidentov, testovania a závislostí od tretích strán. GDPR vyžaduje, aby prevádzkovatelia a sprostredkovatelia preukázali primeranú bezpečnosť a zodpovednosť pri spracúvaní osobných údajov. Akt o kybernetickej odolnosti zvyšuje trhové očakávania voči bezpečným produktom s digitálnymi prvkami, bezpečným aktualizáciám a riešeniu zraniteľností. ISO/IEC 27001:2022 vyžaduje ISMS, ktorý premieňa ošetrenie rizík na kontrolované a dôkazmi podložené činnosti.
Pipeline sa stala auditnou stopou dôvery v moderný softvér.
Nová otázka súladu: viete preukázať, čo sa dostalo do produkcie?
Programy DevSecOps sa celé roky sústredili na pridávanie skenerov do pipeline. Statická analýza, kontroly závislostí, skenovanie tajomstiev, skenovanie kontajnerov a validácia infraštruktúry ako kódu sa stali bežnou praxou. Tieto kontroly sú naďalej dôležité, ale neodpovedajú na otázku riadenia, ktorú dnes kladú audítori, regulátori, zákazníci a riadiace orgány:
Vie organizácia preukázať, že každé produkčné nasadenie pochádzalo zo schváleného zdrojového kódu, bolo zostavené v kontrolovanom prostredí, vytvorilo overiteľný artefakt, prešlo požadovanými bezpečnostnými bránami, použilo schválené poverenia, dodržalo riadenie zmien a vygenerovalo dôkazy, ktoré možno uchovať?
Útočníci vedia, že systémy zostavenia, balíkové závislosti, vývojárske tokeny, CI runneri, automatizácia vydaní, registre artefaktov a cloudové roly nasadenia sú ciele s vysokou hodnotou. Kompromitovaná pipeline môže obísť tradičné obranné mechanizmy, pretože používa dôveryhodnú automatizáciu na presun škodlivého kódu do dôveryhodných prostredí.
Zrelý model riadenia bezpečnosti CI/CD pipeline preto potrebuje šesť pilierov dôkazov.
| Pilier dôkazov | Čo preukazuje | Typické dôkazy |
|---|---|---|
| Integrita zdroja | Nasadený artefakt pochádza zo schváleného zdrojového kódu | ID commitu, ochrana vetiev, schválenia pull requestov, podpísané commity, auditné logy repozitára |
| Pôvod zostavenia | Artefakt bol vytvorený známou pipeline za kontrolovaných podmienok | ID zostavenia, identita runnera, recept zostavenia, manifest závislostí, hash artefaktu, záznam o podpise |
| Hardening runnerov | Exekučné prostredie nebolo možné ľahko opätovne použiť ani zmanipulovať | Logy efemérnych runnerov, referenčný obraz, stav záplat, izolačné kontroly, sieťové obmedzenia |
| Integrita artefaktu | Release balík nebol po zostavení zmenený | Podpis, kontrolný súčet, log registra, záznam o povýšení, politika nemenných tagov |
| Riadenie nasadenia | Zmena bola autorizovaná, otestovaná a sledovateľná | ID žiadosti o zmenu, dôkaz o schválení, logy povýšenia medzi prostrediami, plán návratu |
| Forenzná pripravenosť | Dôkazy možno uchovať počas auditu alebo reakcie na incidenty | Exportované logy, snímky obrazovky, hashe súborov, záznam reťazca zverenia |
Práve tu sa prístup Clarysec líši od zaškrtávacieho súladu. CI/CD platformu vnímame ako riadený podnikový proces, nie iba ako technický nástroj. Tento proces musí byť zahrnutý do rozsahu ISMS, posúdený z hľadiska rizík, kontrolovaný, monitorovaný, auditovaný a zlepšovaný.
Zahrňte CI/CD do ISMS podľa ISO/IEC 27001:2022
ISO/IEC 27001:2022 začína kontextom, zainteresovanými stranami a rozsahom. Kapitoly 4.1 až 4.4 vyžadujú, aby organizácie porozumeli interným a externým otázkam, určili požiadavky zainteresovaných strán, identifikovali právne, regulačné a zmluvné požiadavky a definovali rozsah ISMS so zohľadnením závislostí od iných organizácií.
Pre poskytovateľa SaaS, fintech spoločnosť, poskytovateľa spravovaných služieb, dodávateľa softvéru alebo cloud-native organizáciu je CI/CD takmer vždy súčasťou tohto rozsahu, pretože priamo ovplyvňuje poskytovanie služieb, údaje zákazníkov, produkčnú infraštruktúru a zmluvné záväzky.
Kapitoly 5.1 až 5.3 ukladajú zodpovednosť za ISMS vedeniu. Je to dôležité, pretože moderná automatizácia vydaní stojí medzi vývojom, bezpečnosťou, cloudovou prevádzkou, obstarávaním, súladom a produktovým manažmentom. Ak žiadny člen vrcholového vedenia nevlastní apetít na riziko pre automatizáciu produkčného nasadzovania, organizácia zvyčajne skončí s fragmentovanými nástrojmi a nekonzistentnými dôkazmi.
Kapitoly 6.1.1 až 6.1.3 poskytujú plánovací základ. Organizácia musí posúdiť riziká pre dôvernosť, integritu a dostupnosť, identifikovať vlastníkov rizík, porovnať riziká s kritériami, vybrať ošetrenia, porovnať vybrané kontroly s Annex A, vypracovať vyhlásenie o uplatniteľnosti a získať schválenie plánu ošetrenia rizík aj reziduálneho rizika.
Posúdenie rizík CI/CD nemá iba uvádzať „riziko softvérového dodávateľského reťazca“. Má pomenovať realistické scenáre:
- Škodlivý build skript exfiltruje podpisové kľúče zo zdieľaného runnera.
- Vývojár obíde ochranu vetiev a nasadí nepreskúmaný kód.
- Kompromitovaná akcia tretej strany zmení artefakt počas zostavenia.
- Poverenie zo staging prostredia poskytuje prístup do produkčného prostredia.
- Nasadenie prebehne bez prepojenej žiadosti o zmenu.
- Logy pipeline potrebné na rekonštrukciu incidentu sa po siedmich dňoch prepíšu.
- Incident otrávenia závislosti sa dostane do predprodukčného alebo produkčného prostredia.
Kapitola 8.1 následne vyžaduje plánovanú a kontrolovanú prevádzku procesov ISMS, zdokumentované dôkazy, riadenie plánovaných zmien, preskúmanie neúmyselných zmien a riadenie externe poskytovaných procesov, produktov alebo služieb relevantných pre ISMS. Ak pipeline mení produkciu, musí vytvárať dôkazy o kontrolovanej prevádzke.
Kontrolný model Clarysec pre bezpečné doručovanie softvéru
Clarysec prepája politiku, kontroly a auditné dôkazy. Zenith Blueprint: 30-kroková cestovná mapa audítora Zenith Blueprint zaraďuje bezpečné DevOps a bezpečný vývoj do fázy riadenia rizík, kroku 14. Uvádza, že organizácie majú zabezpečiť CI/CD nástroje, zaistiť, aby nasadenia mohli spúšťať iba oprávnení pracovníci, používať MFA pre prístup k pipeline, chrániť integritu build artefaktov a logovať a monitorovať CI/CD akcie.
„Kontroly DevOps pipeline: CI/CD nástroje musia byť zabezpečené – nasadenia môžu spúšťať iba oprávnení pracovníci; pre prístup k pipeline sa musí používať MFA; integrita build artefaktov musí byť chránená. CI/CD akcie sa musia logovať a monitorovať.“
Toto usmernenie sa stáva vykonateľným, keď sa premietne do ustanovení politík a požiadaviek na dôkazy.
P24 Politika bezpečného vývoja Politika bezpečného vývoja uvádza:
„Build artefakty musia byť podpísané a sledovateľné k zdrojovým commitom.“
Ide o jednu z najsilnejších kontrol v programe riadenia CI/CD. Vývojovému tímu hovorí, že produkčný artefakt musí mať overiteľnú líniu pôvodu späť k správe zdrojového kódu. Audítorom zároveň hovorí, čo majú testovať: vybrať produkčné vydanie, skontrolovať podpis artefaktu, validovať referenciu commitu, preskúmať schválenie pull requestu a potvrdiť záznam zostavenia v pipeline.
Tá istá politika uvádza:
„Všetky vývojové činnosti musia byť sledované prostredníctvom schválených systémov správy verzií s vynúteným riadením prístupu, auditnými stopami a ochranou vetiev.“
Tým sa riadenie posúva proti prúdu procesu. Ak repozitáre zdrojového kódu nie sú chránené, pôvod zostavenia je slabý. Ak možno obísť ochranu vetiev, pipeline môže spoľahlivo zostaviť neschválený kód. Ak sú auditné stopy vypnuté, rekonštrukcia incidentu závisí od pamäti a snímok obrazovky namiesto dôkazov.
Pre menšie organizácie obsahuje Politika bezpečného vývoja-sme Politika bezpečného vývoja-sme - SME pragmatickú minimálnu požiadavku:
„Sledovanie verzie kódu, dátumu nasadenia a schvaľovateľa“
Táto jednoduchá evidencia nasadení je silný východiskový bod. Mnohé MSP nepotrebujú v prvý deň ťažkopádne riadenie vydaní, ale potrebujú vedieť, ktorá verzia bola nasadená do prevádzky, kedy a kto ju schválil.
Politika pre MSP zároveň uvádza:
„Prístup k nástrojom alebo systémom produkčného nasadzovania musí byť riadený, logovaný a pravidelne preskúmavaný GM alebo poskytovateľom IT služieb.“
To je krok riadenia, ktorý menším tímom často chýba. CI/CD platforma s produkčnými cloudovými povereniami je privilegovaná prístupová cesta do produkčného prostredia.
Tri oblasti kontrol ISO/IEC 27002:2022 za bezpečným CI/CD
Zenith Controls: Sprievodca krížovým súladom Zenith Controls je kompas Clarysec pre krížový súlad, ktorý mapuje oficiálne normy a rámce na praktické vzťahy medzi kontrolami. Pre riadenie bezpečnosti CI/CD pipeline sú kľúčové tri oblasti kontrol ISO/IEC 27002:2022.
| Kontrola ISO/IEC 27002:2022 | Úloha v riadení CI/CD | Súvisiace kontroly a dôkazy |
|---|---|---|
| 5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT | Riadi CI/CD platformy, akcie tretích strán, repozitáre balíkov, cloudové služby zostavenia, registre a outsourcovaný vývoj | Due diligence dodávateľov, zmluvné bezpečnostné požiadavky, logy poskytovateľov, inventáre závislostí |
| 8.25 Životný cyklus vývoja softvéru (SDLC) | Vkladá bezpečnosť do požiadaviek, návrhu, kódovania, zostavenia, testovania a vydania | Bezpečná architektúra, bezpečné programovanie, bezpečnostné testovanie, podpisovanie artefaktov, dôkazy o vydaní |
| 8.32 Riadenie zmien | Zabezpečuje, aby nasadenia boli zámerné, odôvodnené, schválené a overiteľné | ID žiadosti o zmenu, schválenie, log nasadenia, plán návratu, záznam o núdzovej zmene |
Zenith Controls opisuje 5.21 ako preventívnu kontrolu podporujúcu dôvernosť, integritu a dostupnosť, pričom bezpečnosť vzťahov s dodávateľmi je kľúčovou prevádzkovou schopnosťou. To zodpovedá CI/CD, pretože moderné pipeline závisia od externých služieb: platforiem správy zdrojového kódu, hostovaných runnerov, kontajnerových registrov, open-source repozitárov balíkov, akcií GitHub tretích strán, skenovacích nástrojov, cloudových deployment API a outsourcovaných vývojárov.
V mapovaní 5.21 prepája Zenith Controls bezpečnosť dodávateľského reťazca IKT s 5.19 Informačná bezpečnosť vo vzťahoch s dodávateľmi, 5.20 Riešenie informačnej bezpečnosti v dodávateľských zmluvách, 8.27 Bezpečná architektúra a inžinierske zásady systémov, 8.28 Bezpečné programovanie, 8.29 Bezpečnostné testovanie pri vývoji a akceptácii, 5.15 Riadenie prístupu, 5.28 Zber dôkazov, 8.25 Životný cyklus vývoja softvéru (SDLC) a 8.30 Outsourcovaný vývoj.
Pri 8.25 Zenith Controls identifikuje životný cyklus vývoja softvéru (SDLC) ako preventívnu kontrolu chrániacu dôvernosť, integritu a dostupnosť. Prepája bezpečnostné požiadavky, architektúru, kódovanie, testovanie, outsourcovaný vývoj a 8.31 Oddelenie vývojového, testovacieho a produkčného prostredia.
Pri 8.32 Zenith Controls rámcuje riadenie zmien ako most medzi vývojom a prevádzkou. Vzťahuje ho na 8.9 Riadenie konfigurácie, 8.8 Riadenie technických zraniteľností, bezpečný SDLC a reakciu na incidenty. Preto automatizácia nasadení nemôže stáť mimo riadenia zmien. Je mechanizmom, ktorým sa produkčné zmeny uskutočňujú.
Pôvod zostavenia: príbeh vydania, ktorý audítori dokážu sledovať
Pôvod zostavenia je schopnosť na základe dôkazov odpovedať, odkiaľ softvérový artefakt pochádza a ako bol vytvorený. Silný záznam o pôvode rozpráva príbeh vydania:
- Ktorý zdrojový repozitár a commit boli použité.
- Ktorá vetva alebo tag spustili zostavenie.
- Ktorý pull request, kontrolór a schválenie boli prepojené.
- Ktorá definícia pipeline sa vykonala.
- Ktorý runner vykonal úlohu.
- Ktoré závislosti a základné obrazy boli použité.
- Ktoré testy a bezpečnostné brány prebehli.
- Ktorý artefakt bol vytvorený.
- Ktorý podpis alebo hash bol vygenerovaný.
- Ktoré nasadenie artefakt použilo.
P05 Politika riadenia zmien Politika riadenia zmien poskytuje väzbu na riadenie. Uvádza:
„Zmeny vykonané nástrojmi musia naďalej dodržiavať túto politiku a byť sledovateľné k príslušnému ID žiadosti o zmenu.“
Tým sa rieši bežný argument, že automatizované nasadenia nepotrebujú tickety zmien. Automatizácia neodstraňuje riadenie zmien. Mení spôsob, akým sa generujú dôkazy.
Tá istá politika uvádza:
„Všetky žiadosti o zmenu, preskúmania, schválenia a podporné dôkazy musia byť zaznamenané v centralizovanom systéme riadenia zmien.“
V praxi má systém riadenia zmien slúžiť ako index, nie ako úložisko všetkého. Ticket má odkazovať na zdrojový repozitár, beh zostavenia, podpis artefaktu, log nasadenia a plán návratu. Detailné dôkazy môžu zostať v inžinierskych nástrojoch, ak sú definované uchovávanie, riadenie prístupu a exportovateľnosť.
| Kontrolná otázka | Dôkazy na uchovanie | Vlastník |
|---|---|---|
| Bol zdroj schválený? | Schválenie pull requestu, nastavenia ochrany vetiev, identita kontrolóra | Vedúci vývoja |
| Bolo zostavenie kontrolované? | ID behu zostavenia, ID runnera, verzia definície pipeline, logy úloh | DevOps |
| Bol artefakt sledovateľný? | Hash artefaktu, podpis, referencia zdrojového commitu, metadáta registra | Platformový tím |
| Prebehli bezpečnostné brány? | Výsledky skenov SAST, SCA, kontajnerov, DAST a IaC, schválenia výnimiek | Bezpečnosť |
| Bolo nasadenie autorizované? | ID žiadosti o zmenu, schvaľovateľ, okno nasadenia, plán návratu | Manažér zmien |
| Možno dôkazy uchovať? | Exportované logy, snímky obrazovky, hashe, záznam reťazca zverenia | Bezpečnosť alebo súlad |
Hardening runnerov: prehliadaná produkčná kontrola
CI/CD runneri sa často považujú za jednorazovú infraštruktúru, ale ide o vysoko rizikové exekučné prostredia. Runner môže pristupovať k zdrojovému kódu, tajomstvám, build cache, repozitárom balíkov, podpisovým kľúčom, registrom artefaktov a cloudovým rolám nasadenia. Ak je perzistentný, zdieľaný, nadmerne privilegovaný alebo slabo monitorovaný, stáva sa privilegovaným bodom laterálneho pohybu.
Bezpečný prístup k riadeniu je jednoduchý: runneri, ktorí zostavujú alebo nasadzujú produkčný kód, musia byť hardenovaní ako produkčná infraštruktúra.
| Oblasť hardeningu runnerov | Očakávaná kontrola | Auditné dôkazy |
|---|---|---|
| Izolácia | Používať efemérnych runnerov pre citlivé zostavenia a vyhnúť sa zdieľaniu naprieč hranicami dôvery | Logy životného cyklu runnerov, nastavenia skupín runnerov |
| Bezpečnosť poverení | Používať krátkodobé poverenia a workload identity namiesto dlhodobých tajomstiev | Konfigurácia identity, nastavenia expirácie tokenov, logy rotácie tajomstiev |
| Zásada minimálnych oprávnení | Oddeliť roly pre zostavenie, testovanie, podpisovanie a nasadenie | Definície rolí, revízia prístupových práv, exporty oprávnení |
| Riadenie siete | Obmedziť odchádzajúci prístup a blokovať zbytočnú konektivitu do produkcie | Pravidlá firewallu, exporty sieťových politík, logy odchádzajúcej prevádzky |
| Integrita referenčného stavu | Záplatovať obrazy runnerov a evidovať schválené verzie | Inventár obrazov, správy o záplatách, digesty build obrazov |
| Ochrana cache | Zabrániť kontaminácii medzi projektmi prostredníctvom build cache | Politika cache, nastavenia izolácie projektov |
| Monitorovanie | Logovať administrátorské akcie, zmeny konfigurácie a anomálie úloh | Auditné logy CI/CD, udalosti SIEM, záznamy upozornení |
Politika testovacích údajov a testovacích prostredí Politika testovacích údajov a testovacích prostredí uvádza:
„Integrácia s CI/CD pipelinami musí vynucovať oddelenie prostredí a autentifikačných údajov.“
Runner, ktorý môže nasadzovať do stagingu aj produkcie s rovnakým modelom poverení, porušuje oddelenie prostredí svojím účelom, aj keď je infraštruktúra logicky oddelená. Clarysec typicky odporúča samostatné identity nasadenia pre každé prostredie, samostatné schvaľovacie brány pre produkciu a explicitné kontroly, ktoré bránia úlohám z prostredí nižšej úrovne pristupovať k produkčným tajomstvám.
Zenith Blueprint, fáza Kontroly v praxi, krok 21, to posilňuje cez oddelenie vývojového, testovacieho a produkčného prostredia:
„Ak sa používa CI/CD, potvrďte, že povýšenie nasadenia medzi prostrediami je riadené a vyžaduje preskúmanie alebo schválenie. Zdokumentujte to vo svojom postupe riadenia prostredí a podložte to snímkami obrazovky alebo exportmi z konzoly.“
Pri skutočnom audite to znamená, že audítor nemá vidieť iba diagram. Má vidieť exporty z konzoly zobrazujúce poverenia špecifické pre prostredie, chránené prostredia nasadenia, schvaľovacie brány a logy preukazujúce, že povýšenie bolo riadené.
Dôkazy o nasadení: artefakt súladu ukrytý na očiach
Najzrelšie tímy DevSecOps nepovažujú zber dôkazov za kvartálnu naháňačku. Navrhujú pipeline tak, aby dôkazy generovali automaticky.
Politika logovania a monitorovania-sme Politika logovania a monitorovania-sme - SME identifikuje relevantné logované udalosti ako:
„Systémové logy: zmeny konfigurácie, administrátorské akcie, inštalácie softvéru, aktivita záplatovania“
CI/CD systémy produkujú všetky štyri kategórie. Zmeny konfigurácie pipeline ovplyvňujú, ako sa softvér zostavuje. Administrátorské akcie menia, kto môže schvaľovať alebo nasadzovať. Inštalácie softvéru prebiehajú v build obrazoch a cieľoch nasadenia. Aktivita záplatovania môže prechádzať automatizovanými procesmi vydania. Tieto udalosti sa majú logovať, uchovávať a preskúmavať podľa rizika.
Pre pripravenosť na vyšetrovanie uvádza P31S Politika zberu dôkazov a forenznej analýzy-sme Politika zberu dôkazov a forenznej analýzy-sme - SME:
„Snímky obrazovky, exportované logy a hashe súborov musia byť uložené spolu so súborom reťazca zverenia.“
Je to obzvlášť dôležité po podozrení na kompromitáciu pipeline. Samotné snímky obrazovky sú slabým dôkazom. Logy bez hashov môžu byť spochybnené. Súbor reťazca zverenia bez referencií na zdroj je neúplný.
Obhájiteľný záznam produkčného nasadenia má obsahovať nasledovné.
| Položka dôkazov | Minimálny obsah | Primárny zdroj | Hodnota pre súlad |
|---|---|---|---|
| Žiadosť o zmenu | Potreba organizácie, úroveň rizika, schválenie, ID zmeny, plán návratu | JIRA, ServiceNow, Git issue | ISO 27002 8.32, DORA Article 9 |
| Záznam zdroja | Repozitár, commit, vetva, schválenia pull requestu | Git, GitHub, GitLab, Azure DevOps | ISO 27002 8.25, NIS2 Article 21 |
| Záznam zostavenia | ID pipeline, ID runnera, build logy, údaje o závislostiach | CI/CD platforma | ISO 27002 8.25, dôkazy dodávateľského reťazca IKT |
| Potvrdenie pôvodu zostavenia | Podpísaný záznam vstupov zostavenia, prostredia a procesu | CI/CD nástroj, workflow podporujúci SLSA | ISO 27002 5.21, podpora CRA Annex I |
| Záznam bezpečnostnej brány | Výsledky skenov SAST, SCA, DAST, kontajnerov a IaC | Bezpečnostné nástroje, logy pipeline | ISO 27002 8.29, DORA Article 9 |
| Záznam artefaktu | Hash, podpis, cesta v registri, nemenný digest | Register artefaktov | ISO 27002 8.25, dôkaz bezpečnej aktualizácie podľa CRA |
| Záznam nasadenia | Prostredie, aktér, časová pečiatka, produkčné schválenie | GitOps, platforma nasadenia | ISO 27002 8.32, DORA Article 10 |
| Záznam monitorovania | Kontroly stavu a anomálií po nasadení | SIEM, observability platforma | Očakávania DORA pre detekciu a reakciu |
| Uchovanie dôkazov | Exportované logy, snímky obrazovky, hashe, záznam o zverení | Úložisko dôkazov | ISO 27002 5.28, vyšetrovanie incidentu |
Tento balík premieňa CI/CD zo série technických krokov na príbeh riadenia, kontrol a náležitej starostlivosti.
Mapovanie riadenia CI/CD na NIS2, DORA, GDPR a CRA
NIS2 sa vzťahuje na mnohé základné a dôležité subjekty vrátane digitálnej infraštruktúry, riadenia služieb IKT a organizácií digitálnych poskytovateľov, ak sú splnené príslušné kritériá. Article 20 je obzvlášť relevantný, pretože vytvára povinnosti kybernetickej bezpečnosti na úrovni manažmentu. Riadiace orgány musia schvaľovať opatrenia riadenia kybernetických rizík, dohliadať na ich implementáciu a absolvovať školenie.
Article 21 poskytuje základ riadenia rizík. Vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia zahŕňajúce analýzu rizík, politiky, riešenie incidentov, kontinuitu činností, bezpečnosť dodávateľského reťazca, bezpečné obstarávanie, vývoj a údržbu, riešenie zraniteľností, posudzovanie účinnosti, kybernetickú hygienu, kryptografiu, bezpečnosť HR, riadenie prístupu, správu aktív a MFA tam, kde je to vhodné.
| Téma NIS2 Article 21 | Interpretácia pre riadenie CI/CD |
|---|---|
| Analýza rizík a politiky | Modelovanie hrozieb pipeline, politika bezpečného vývoja, posúdenie rizík runnerov |
| Riešenie incidentov | Playbook kompromitácie pipeline, revokácia artefaktu, riadenie núdzového vydania |
| Kontinuita činností | Obnova správy zdrojového kódu, registra artefaktov a automatizácie nasadení |
| Bezpečnosť dodávateľského reťazca | Akcie tretích strán, balíky, outsourcovaný vývoj, závislosti registrov |
| Bezpečný vývoj a údržba | Bezpečný SDLC, preskúmanie kódu, testovanie, riešenie zraniteľností |
| Posúdenie účinnosti | Testovanie kontrol pipeline, auditné vzorkovanie, metriky a výnimky |
| Riadenie prístupu a MFA | Repozitár, administrácia CI/CD, registrácia runnerov, roly produkčného nasadenia |
| Kryptografia | Podpisovanie artefaktov, ochrana tajomstiev, správa kľúčov |
Article 23 dopĺňa etapizované hlásenie významných incidentov vrátane včasného varovania do 24 hodín od zistenia, oznámenia incidentu do 72 hodín a záverečnej správy najneskôr jeden mesiac po oznámení incidentu. Ak by kompromitácia CI/CD mohla spôsobiť závažné prevádzkové narušenie, finančnú stratu alebo významnú škodu iným subjektom, proces klasifikácie incidentov musí byť pripravený ešte pred incidentom.
Pre finančné subjekty sa DORA uplatňuje od 17. januára 2025 a pokrýva riadenie rizík IKT, hlásenie incidentov, testovanie odolnosti, zdieľanie informácií, riadenie rizík externých poskytovateľov IKT a zmluvné požiadavky. Article 5 vyžaduje interný rámec riadenia a kontroly pre riziká IKT so zodpovednosťou riadiaceho orgánu. Article 6 vyžaduje zdokumentovaný rámec riadenia rizík IKT integrovaný do celkového riadenia rizík.
Articles 8 až 14 sa priamo mapujú na riadenie CI/CD pipeline. Finančné subjekty musia identifikovať a klasifikovať obchodné funkcie podporované IKT, aktíva, závislosti, hrozby a zraniteľnosti. Musia chrániť systémy IKT prostredníctvom politík, riadenia prístupu, silnej autentifikácie, ochrany kryptografických kľúčov, kontrolovaného riadenia zmien IKT, záplatovania a segmentácie. Musia detegovať anomálie, reagovať, obnovovať sa a učiť sa z incidentov.
Articles 28 až 30 sú rovnako dôležité, pretože CI/CD platformy, poskytovatelia správy zdrojového kódu, registre artefaktov, cloudové systémy zostavenia a outsourcovaní vývojári môžu byť závislosťami od externých poskytovateľov IKT. DORA očakáva due diligence, zmluvné ochranné opatrenia, posúdenie rizika koncentrácie, práva na audit a kontrolu, spúšťače ukončenia, stratégie ukončenia a ustanovenia o úrovni služieb.
GDPR pridáva pohľad preukázateľnej zodpovednosti. Article 5 vyžaduje, aby sa osobné údaje spracúvali zákonne, spravodlivo, transparentne, na špecifikované účely, minimalizovane, presne, uchovávali sa iba tak dlho, ako je potrebné, a boli chránené pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením. Article 5(2) vyžaduje, aby prevádzkovateľ preukázal súlad.
CI/CD pipeline sú pre GDPR dôležité, pretože vývojári môžu používať produkčné údaje v testovacích prostrediach, logy pipeline môžu odhaliť osobné údaje alebo tokeny, vydania môžu meniť logiku spracúvania a kompromitované artefakty môžu spôsobiť porušenia ochrany osobných údajov. Ak softvérové zmeny ovplyvňujú kontroly ochrany súkromia, záznam o zmene má zachytiť vplyv na ochranu súkromia. Ak incident pipeline spôsobí neoprávnený prístup k osobným údajom, posúdenie porušenia musí byť prepojené s riešením incidentu.
Očakávania CRA pridávajú bezpečnosť produktov a dôkazy o bezpečných aktualizáciách. Pri výrobcoch a poskytovateľoch softvéru, ktorí uvádzajú produkty s digitálnymi prvkami na trh EÚ, zákazníci čoraz viac očakávajú bezpečnostné súbory produktu, dôkazy o riešení zraniteľností, kontroly bezpečných aktualizácií a integritu vydaní. Riadenie CI/CD poskytuje veľkú časť týchto dôkazov prostredníctvom sledovateľnosti zdroja, podpísaných artefaktov, výsledkov skenov zraniteľností, poznámok k vydaniu, bezpečnostných opráv a záznamov o distribúcii aktualizácií.
NIST CSF 2.0 a COBIT 2019: auditný pohľad nad rámec ISO
NIST CSF 2.0 poskytuje integračnú vrstvu pre riadenie kybernetickej bezpečnosti. Jeho Core, Organizačné profily a úrovne pomáhajú organizáciám pochopiť súčasný a cieľový bezpečnostný stav, prioritizovať opatrenia zosúladené s právnymi a regulačnými požiadavkami a komunikovať kybernetické riziko.
Pre CI/CD Clarysec často vytvára Profil pipeline doručovania softvéru. Aktuálny profil zachytáva, ako dnes funguje správa zdrojového kódu, runneri, podpisovanie artefaktov a schvaľovanie nasadení. Cieľový profil definuje požadovaný stav pre regulovanú prevádzku. Plán odstránenia medzier sa stáva implementačnou cestovnou mapou.
Funkcia GOVERN v NIST je obzvlášť relevantná. GV.OC-03 vyžaduje, aby boli právne, regulačné a zmluvné požiadavky kybernetickej bezpečnosti pochopené a riadené. GV.RM pokrýva apetít na riziko a štandardizovanú prioritizáciu rizík. GV.RR priraďuje zodpovednosť vedenia, roly a zdroje. GV.PO vyžaduje, aby boli politiky kybernetických rizík zavedené, uplatňované, preskúmavané a aktualizované. GV.OV pokrýva dohľad a hodnotenie výkonnosti.
Audítor v štýle COBIT 2019 alebo ISACA sa často menej zameria na kryptografický detail podpisovania artefaktov a viac na návrh riadenia. Bude sa pýtať, či je definované vlastníctvo, či je riadené povoľovanie zmien, či sú služby tretích strán riadené podľa rizika, či monitorovanie poskytuje uistenie, či sú výnimky schválené a či manažment dostáva zmysluplné reporty.
| Auditný pohľad | Pravdepodobná auditná otázka | Dôkazy, ktoré na ňu odpovedajú |
|---|---|---|
| Audítor ISO/IEC 27001:2022 | Je CI/CD zahrnuté v rozsahu ISMS, posúdení rizík, vyhlásení o uplatniteľnosti a prevádzkových kontrolách? | Rozsah ISMS, register rizík, mapovanie SoA, ustanovenia politík, vzorky nasadení |
| Preskúmavateľ kontrol ISO/IEC 27002:2022 | Sú implementované bezpečný SDLC, oddelenie prostredí, riadenie prístupu, riadenie zmien a zber dôkazov? | Ochrany vetiev, poverenia prostredí, schválenia, podpisy artefaktov, logy |
| Posudzovateľ NIS2 | Schválil manažment primerané opatrenia pre bezpečný vývoj, dodávateľský reťazec, riadenie prístupu, riešenie incidentov a odolnosť? | Zápisnice riadiaceho orgánu, plán ošetrenia rizík, mapovanie Article 21, incidentný playbook, záznamy dodávateľov |
| Audítor DORA | Podporuje pipeline riadenie rizík IKT, kontrolované zmeny, monitorovanie, testovanie, hlásenie incidentov a správu externých poskytovateľov IKT? | Inventár aktív IKT, záznamy o zmenách, detekčné logy, klasifikácia incidentov, register poskytovateľov |
| Posudzovateľ GDPR | Vie organizácia preukázať bezpečnosť a zodpovednosť pri vydaniach ovplyvňujúcich osobné údaje? | Poznámky z preskúmania ochrany súkromia, kontroly testovacích údajov, prístupové logy, pracovný tok posúdenia porušenia |
| Posudzovateľ NIST CSF 2.0 | Aký je súčasný a cieľový stav pipeline a prioritizovaný plán zlepšenia? | Profil CSF, analýza medzier, POA&M, metriky, záznamy o akceptácii rizika |
| Audítor COBIT 2019 alebo ISACA | Sú definované roly, zodpovednosti, procesné kontroly, ukazovatele výkonnosti a uisťovacie aktivity? | RACI, zoznam vlastníkov kontrol, reporty KPI a KRI, výsledky vnútorného auditu, register výnimiek |
Bežné zlyhania auditov CI/CD a metriky pre riadiaci orgán
Väčšina auditných zistení v oblasti CI/CD je predvídateľná. Prvým je neprepojený dôkazový materiál. Tím má logy Git, logy pipeline a logy nasadenia, ale žiadny jednotný záznam o zmene ich nespája. Druhým je nadmerne privilegovaná automatizácia, pri ktorej jedna úloha dokáže čítať produkčné tajomstvá, odosielať artefakty, schvaľovať nasadenia a meniť definície pipeline. Tretím sú perzistentní zdieľaní runneri, ktorí vytvárajú riziko kontaminácie medzi projektmi a po kompromitácii sťažujú forenzné určenie rozsahu.
Medzi ďalšie bežné zlyhania patria nepodpísané alebo prepísané artefakty, neformálne obchádzanie skenov, slepé miesta voči dodávateľom a úniky údajov o súkromí v logoch. Dobrá pipeline umožňuje výnimky, ale vyžaduje schválenie, expiráciu, vlastníctvo rizika a preskúmanie.
Bezpečnostní lídri by riadiacemu orgánu nemali reportovať iba počty skenerov. Namiesto toho majú reportovať metriky dôveryhodnosti vydaní:
- Percento produkčných nasadení prepojených so schválenými záznamami o zmene.
- Percento produkčných artefaktov podpísaných a sledovateľných k zdrojovým commitom.
- Počet nasadení používajúcich výnimky alebo núdzové schválenia.
- Percento privilegovaných používateľov CI/CD s MFA a nedávnou revíziou prístupových práv.
- Počet aktívnych dlhodobých poverení nasadenia.
- Percento kritických služieb používajúcich hardenovaných alebo efemérnych runnerov.
- Priemerný čas na revokáciu alebo rotáciu tajomstiev pipeline po incidente.
- Počet kritických dodávateľských závislostí podporujúcich doručovanie softvéru.
- Miera úplnosti dôkazov pri auditne vzorkovaných vydaniach.
Tieto metriky podporujú vedenie, plánovanie a prevádzkové kontroly podľa ISO/IEC 27001:2022. Podporujú tiež dohľad manažmentu podľa NIS2 Article 20 a očakávania riadenia podľa DORA.
Urobte svoju pipeline auditovateľnou ešte pred incidentom
Riadenie bezpečnosti CI/CD pipeline v roku 2026 nie je o spomaľovaní vývoja. Ide o to, aby bolo doručovanie softvéru dôveryhodné, odolné a preukázateľné. Najlepšie programy používajú automatizáciu na zrýchlenie tvorby dôkazov, nie na obchádzanie riadenia.
Praktická implementácia Clarysec začína tromi krokmi.
- Použite Zenith Blueprint Zenith Blueprint na zaradenie bezpečného DevOps, prístupu k zdrojovému kódu, oddelenia prostredí a riadenia zmien do vašej implementačnej cestovnej mapy ISO/IEC 27001:2022.
- Použite Zenith Controls Zenith Controls na mapovanie rizík CI/CD naprieč bezpečným SDLC, dodávateľským reťazcom IKT, riadením prístupu, riadením zmien, zberom dôkazov, NIS2, DORA, GDPR, NIST CSF 2.0 a auditnými pohľadmi COBIT 2019.
- Nasaďte šablóny politík Clarysec vrátane Politika bezpečného vývoja, Politika riadenia zmien, Politika testovacích údajov a testovacích prostredí, Politika bezpečného vývoja-sme - SME, Politika logovania a monitorovania-sme - SME a Politika zberu dôkazov a forenznej analýzy-sme - SME, aby ste definovali, kto schvaľuje vydania, ako sú artefakty sledované, ako sú runneri riadení a aké dôkazy sa musia uchovávať.
Ak sa vaša ďalšia auditná vzorka začne slovami „ukážte nám stopu produkčného vydania“, váš tím má vedieť odpovedať v priebehu minút, nie týždňov. To je rozdiel medzi automatizáciou DevOps a riadeným doručovaním softvéru.
Stiahnite si balík politík Clarysec, preskúmajte svoju CI/CD pipeline voči Zenith Blueprint a Zenith Controls alebo si objednajte posúdenie Clarysec, aby ste zo svojej pipeline urobili základný pilier digitálnej odolnosti namiesto zdroja auditnej neistoty.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
