Säkerhetsstyrning av CI/CD-pipelines inför revisioner 2026
Klockan är 08:17 en måndagsmorgon och informationssäkerhetschefen på ett växande fintechbolag får meddelandet som varje säkerhetsledare fruktar:
”Produktionsbygget ser rent ut, men artefakthashen matchar inte källkods-commiten.”
Inom några minuter bekräftar utvecklingsteamet att releasen klarade enhetstesterna, att driftsättningsärendet finns och att den kundvända tjänsten är stabil. Men pipelinen berättar en annan historia. En egenhostad CI-runner hade återanvänts mellan projekt. En tillfällig molnbehörighet var aktiv längre än avsett. Artefaktregistret visar en signerad containeravbildning, men signeringsnyckeln var åtkomlig från samma runner som körde obetrodda byggskript.
Releaseansvarig kan visa att något driftsattes. Det organisationen inte kan visa, åtminstone inte tillräckligt snabbt, är vad som byggdes, vem som godkände det, om byggmiljön var ren och om underlaget skulle hålla vid en revision eller incidentutredning.
Det är inte längre bara ett DevOps-problem.
År 2026 ligger säkerhetsstyrning av CI/CD-pipelines i skärningspunkten mellan säkerhet i programvaruleveranskedjan, operativ resiliens, ansvarsskyldighet för integritet, produktsäkerhet och cybersäkerhetsrisker på styrelsenivå. NIS2 driver ledningsorgan att godkänna och utöva tillsyn över åtgärder för cybersäkerhetsriskhantering. DORA kräver att finansiella entiteter styr IKT-risker, incidenter, testning och tredjepartsberoenden. GDPR kräver att personuppgiftsansvariga och personuppgiftsbiträden kan visa lämplig säkerhet och ansvarsskyldighet för personuppgifter. Cyber Resilience Act höjer marknadens förväntningar på säkra produkter med digitala komponenter, säkra uppdateringar och sårbarhetshantering. ISO/IEC 27001:2022 kräver ett ISMS som omsätter riskbehandling i kontrollerad och dokumenterad verksamhet.
Pipelinen har blivit revisionsspåret för modern tillit till programvara.
Den nya efterlevnadsfrågan: kan ni visa vad som nådde produktion?
Under många år fokuserade DevSecOps-program på att lägga till skanningsverktyg i pipelines. Statisk analys, beroendekontroller, skanning efter hemligheter, containerskanning och validering av infrastructure-as-code blev vanligt förekommande. Dessa kontroller är fortfarande viktiga, men de besvarar inte den styrningsfråga som revisorer, tillsynsmyndigheter, kunder och styrelser nu ställer:
Kan organisationen visa att varje produktionsdriftsättning kom från godkänd källkod, byggdes i en kontrollerad miljö, producerade en verifierbar artefakt, passerade obligatoriska säkerhetsgrindar, använde godkända autentiseringsuppgifter, följde ändringshantering och genererade underlag som kan bevaras?
Angripare vet att byggsystem, paketberoenden, utvecklartoken, CI-runners, releaseautomatisering, artefaktregister och molnroller för driftsättning är högvärdiga mål. En komprometterad pipeline kan kringgå traditionella skydd eftersom den använder betrodd automatisering för att föra in skadlig kod i betrodda miljöer.
En mogen modell för säkerhetsstyrning av CI/CD-pipelines behöver därför sex underlagspelare.
| Underlagspelare | Vad den visar | Typiskt underlag |
|---|---|---|
| Källkodsintegritet | Den driftsatta artefakten kom från godkänd källkod | Commit-ID, branchskydd, godkännanden av pull requests, signerade commits, revisionsloggar för kodarkivet |
| Byggproveniens | Artefakten producerades av en känd pipeline under kontrollerade förhållanden | Bygg-ID, runneridentitet, byggrecept, beroendemanifest, artefakthash, signeringspost |
| Härdning av runners | Exekveringsmiljön kunde inte enkelt återanvändas eller manipuleras | Loggar för temporära runners, baslinjeavbildning, patchstatus, isoleringskontroller, nätverksbegränsningar |
| Artefaktintegritet | Releasepaketet ändrades inte efter byggnation | Signatur, kontrollsumma, registerlogg, promoteringspost, policy för oföränderliga taggar |
| Driftsättningsstyrning | Ändringen var auktoriserad, testad och spårbar | ID för ändringsbegäran, godkännandeunderlag, loggar för miljöpromotering, rollback-plan |
| Forensisk beredskap | Underlag kan bevaras vid revision eller incidenthantering | Exporterade loggar, skärmdumpar, filhashar, beviskedjepost |
Det är här Clarysecs angreppssätt skiljer sig från checklistebaserad efterlevnad. Vi behandlar CI/CD-plattformen som en styrd verksamhetsprocess, inte bara som ett tekniskt verktyg. Den processen ska omfattas av ISMS, riskbedömas, kontrolleras, övervakas, revideras och förbättras.
Placera CI/CD inom ISO/IEC 27001:2022 ISMS
ISO/IEC 27001:2022 börjar med kontext, intressenter och omfattning. Avsnitten 4.1 till 4.4 kräver att organisationer förstår interna och externa frågor, fastställer intressentkrav, identifierar rättsliga, regulatoriska och avtalsmässiga krav samt definierar ISMS-omfattningen med beaktande av beroenden till andra organisationer.
För en SaaS-leverantör, ett fintechbolag, en leverantör av hanterade tjänster, en programvaruleverantör eller en molnbaserad verksamhet ligger CI/CD nästan alltid inom denna omfattning, eftersom det direkt påverkar tjänsteleverans, kunddata, produktionsinfrastruktur och avtalsåtaganden.
Avsnitten 5.1 till 5.3 gör ledningen ansvarig för ISMS. Detta är viktigt eftersom modern releaseautomatisering ligger mellan utveckling, säkerhet, molndrift, inköp, regelefterlevnad och produktledning. Om ingen i den verkställande ledningen äger riskaptiten för automatiserad produktionsdriftsättning får organisationen normalt fragmenterade verktyg och inkonsekvent underlag.
Avsnitten 6.1.1 till 6.1.3 utgör planeringsgrunden. Organisationen ska bedöma risker för konfidentialitet, riktighet och tillgänglighet, identifiera riskägare, jämföra risker mot kriterier, välja behandlingar, jämföra valda kontroller med Bilaga A, ta fram en tillämpbarhetsförklaring och inhämta godkännande för riskbehandlingsplanen och kvarstående risk.
En CI/CD-riskbedömning ska inte bara ange ”risk i programvaruleveranskedjan”. Den ska beskriva realistiska scenarier:
- Ett skadligt byggskript exfiltrerar signeringsnycklar från en delad runner.
- En utvecklare kringgår branchskydd och driftsätter ogranskad kod.
- En komprometterad tredjepartsåtgärd ändrar en artefakt under byggnationen.
- En autentiseringsuppgift för staging ger produktionsåtkomst.
- En driftsättning sker utan kopplad ändringsbegäran.
- Pipelineloggar som behövs för incidentrekonstruktion skrivs över efter sju dagar.
- En incident med beroendeförgiftning når förproduktion eller produktion.
Avsnitt 8.1 kräver därefter planerad och kontrollerad drift av ISMS-processer, dokumenterat underlag, styrning av planerade ändringar, granskning av oavsiktliga ändringar och styrning av externt tillhandahållna processer, produkter eller tjänster som är relevanta för ISMS. Om pipelinen ändrar produktion ska den generera underlag för kontrollerad drift.
Clarysecs kontrollmodell för säker programvaruleverans
Clarysec kopplar samman policy, kontroller och revisionsbevis. Zenith Blueprint: en revisors 30-stegs färdplan Zenith Blueprint placerar säker DevOps och säker utveckling i riskhanteringsfasen, steg 14. Där anges att organisationer ska säkra CI/CD-verktyg, säkerställa att endast behörig personal kan utlösa driftsättningar, använda MFA för pipelineåtkomst, skydda byggartefakters integritet samt logga och övervaka CI/CD-åtgärder.
”Kontroller för DevOps-pipelines: CI/CD-verktyg ska säkras – endast behörig personal får utlösa driftsättningar; använd MFA för pipelineåtkomst; skydda byggartefakters integritet. Logga och övervaka CI/CD-åtgärder.”
Den vägledningen blir operativ när den översätts till policyklausuler och krav på underlag.
P24 Policy för säker utveckling Policy för säker utveckling anger:
”Byggartefakter ska signeras och vara spårbara till källkods-commits.”
Detta är en av de starkaste kontrollerna i ett program för CI/CD-styrning. Den tydliggör för utvecklingsorganisationen att en produktionsartefakt ska ha en verifierbar härkomst tillbaka till källkodshanteringen. Den tydliggör också för revisorer vad som ska testas: välj en produktionsrelease, granska artefaktsignaturen, validera commit-referensen, granska godkännandet av pull request och bekräfta pipelineposten för byggkörningen.
Samma policy anger:
”Alla utvecklingsaktiviteter ska spåras genom godkända system för versionshantering med kravställda åtkomstkontroller, revisionsspår och branchskydd.”
Detta flyttar styrningen uppströms. Om källkodslagren inte är skyddade är byggproveniensen svag. Om branchskydd kan kringgås kan pipelinen troget bygga icke godkänd kod. Om revisionsspår är avstängda blir incidentrekonstruktion beroende av minne och skärmdumpar i stället för underlag.
För mindre organisationer innehåller Policy för säker utveckling för små och medelstora företag Policy för säker utveckling för små och medelstora företag ett pragmatiskt minimikrav:
”Spårning av kodversion, driftsättningsdatum och godkännare”
Den enkla driftsättningsloggen är en stark startpunkt. Många små och medelstora företag behöver inte tung releasestyrning från dag ett, men de behöver veta vilken version som gick live, när det skedde och vem som godkände den.
SME-policyn anger också:
”Åtkomst till verktyg eller system för produktionsdriftsättning ska kontrolleras, loggas och granskas periodiskt av VD eller IT-leverantören.”
Det är det styrningssteg som många mindre team missar. En CI/CD-plattform med produktionsbehörigheter till molnet är en privilegierad åtkomstväg till produktion.
Tre kontrollområden i ISO/IEC 27002:2022 bakom säker CI/CD
Zenith Controls: The Cross-Compliance Guide Zenith Controls är Clarysecs kompass för tvärgående regelefterlevnad, där officiella standarder och ramverk mappas till praktiska kontrollrelationer. För säkerhetsstyrning av CI/CD-pipelines är tre kontrollområden i ISO/IEC 27002:2022 centrala.
| ISO/IEC 27002:2022-kontroll | Roll i CI/CD-styrning | Relaterade kontroller och underlag |
|---|---|---|
| 5.21 Hantering av informationssäkerhet i IKT-leveranskedjan | Styr CI/CD-plattformar, tredjepartsåtgärder, paketkällor, molnbaserade byggtjänster, register och outsourcad utveckling | Leverantörsgranskning, avtalsmässiga säkerhetskrav, leverantörsloggar, beroendeförteckningar |
| 8.25 Säker utvecklingslivscykel | Bygger in säkerhet i krav, design, kodning, byggnation, testning och release | Säker arkitektur, säker kodning, säkerhetstestning, artefaktsignering, releaseunderlag |
| 8.32 Ändringshantering | Säkerställer att driftsättningar är avsiktliga, motiverade, godkända och möjliga att granska | ID för ändringsbegäran, godkännande, driftsättningslogg, rollback-plan, post för akut ändring |
Zenith Controls beskriver 5.21 som en förebyggande kontroll som stödjer konfidentialitet, riktighet och tillgänglighet, med säkerhet i leverantörsrelationer som en central operativ förmåga. Det passar CI/CD eftersom moderna pipelines är beroende av externa tjänster: plattformar för källkodshantering, driftade runners, containerregister, paketkällor med öppen källkod, tredjepartsåtgärder i GitHub, skanningsverktyg, API:er för molndriftsättning och outsourcade utvecklare.
I mappningen för 5.21 kopplar Zenith Controls säkerhet i IKT-leveranskedjan till 5.19 Informationssäkerhet i leverantörsrelationer, 5.20 Hantering av informationssäkerhet i leverantörsavtal, 8.27 Principer för säker systemarkitektur och systemutveckling, 8.28 Säker kodning, 8.29 Säkerhetstestning vid utveckling och acceptans, 5.15 Åtkomstkontroll, 5.28 Insamling av bevisning, 8.25 Säker utvecklingslivscykel och 8.30 Outsourcad utveckling.
För 8.25 identifierar Zenith Controls säker utvecklingslivscykel som en förebyggande kontroll som skyddar konfidentialitet, riktighet och tillgänglighet. Den kopplar samman säkerhetskrav, arkitektur, kodning, testning, outsourcad utveckling och 8.31 Separation av utvecklings-, test- och produktionsmiljöer.
För 8.32 beskriver Zenith Controls Ändringshantering som bryggan mellan utveckling och drift. Den relaterar till 8.9 Konfigurationshantering, 8.8 Hantering av tekniska sårbarheter, säker utvecklingslivscykel och incidenthantering. Därför kan driftsättningsautomatisering inte ligga utanför ändringsstyrningen. Den är mekanismen genom vilken produktionsändringar sker.
Byggproveniens: releaseberättelsen som revisorer kan följa
Byggproveniens är förmågan att med underlag besvara varifrån en programvaruartefakt kom och hur den producerades. En stark provenienspost berättar releasehistorien:
- Vilket källkodslager och vilken commit som användes.
- Vilken branch eller tagg som utlöste byggnationen.
- Vilken pull request, granskare och vilket godkännande som var kopplat.
- Vilken pipelinedefinition som kördes.
- Vilken runner som körde jobbet.
- Vilka beroenden och basavbildningar som användes.
- Vilka tester och säkerhetsgrindar som kördes.
- Vilken artefakt som producerades.
- Vilken signatur eller hash som genererades.
- Vilken driftsättning som använde artefakten.
P05 Ändringshanteringspolicy Ändringshanteringspolicy ger styrningskopplingen. Den anger:
”Verktygsbaserade ändringar ska fortfarande följa denna policy och vara spårbara till ett motsvarande ID för ändringsbegäran.”
Detta bemöter det vanliga argumentet att automatiserade driftsättningar inte behöver ändringsärenden. Automatisering tar inte bort ändringsstyrning. Den ändrar hur underlaget genereras.
Samma policy anger:
”Alla ändringsbegäranden, granskningar, godkännanden och stödjande underlag ska registreras i det centraliserade systemet för ändringshantering.”
I praktiken bör ändringshanteringssystemet vara indexet, inte soptippen. Ärendet bör peka till källkodslagret, byggkörningen, artefaktsignaturen, driftsättningsloggen och rollback-planen. Detaljerat underlag kan ligga kvar i utvecklingsverktygen om bevarande, åtkomstkontroll och exportbarhet är definierade.
| Kontrollfråga | Underlag att bevara | Ägare |
|---|---|---|
| Var källkoden godkänd? | Godkännande av pull request, inställningar för branchskydd, granskaridentitet | Utvecklingsansvarig |
| Var bygget kontrollerat? | ID för byggkörning, runner-ID, version av pipelinedefinition, jobbloggar | DevOps |
| Var artefakten spårbar? | Artefakthash, signatur, källkods-commitreferens, registermetadata | Plattformsteam |
| Kördes säkerhetsgrindar? | Resultat från SAST, SCA, container-, DAST- och IaC-skanningar, undantagsgodkännanden | Säkerhet |
| Var driftsättningen auktoriserad? | ID för ändringsbegäran, godkännare, driftsättningsfönster, rollback-plan | Ändringsansvarig |
| Kan underlag bevaras? | Exporterade loggar, skärmdumpar, hashar, beviskedjepost | Säkerhet eller regelefterlevnad |
Härdning av runners: den förbisedda produktionskontrollen
CI/CD-runners behandlas ofta som förbrukningsbar infrastruktur, men de är exekveringsmiljöer med hög risk. En runner kan få åtkomst till källkod, hemligheter, byggcacher, paketkällor, signeringsnycklar, artefaktregister och molnroller för driftsättning. Om den är persistent, delad, överprivilegierad eller bristfälligt övervakad blir den en privilegierad pivotpunkt.
Den säkra styrningspositionen är enkel: runners som bygger eller driftsätter produktionskod ska härdas som produktionsinfrastruktur.
| Område för härdning av runners | Förväntad kontroll | Revisionsunderlag |
|---|---|---|
| Isolering | Använd temporära runners för känsliga byggen och undvik delning över tillitsgränser | Loggar över runners livscykel, inställningar för runnergrupper |
| Säkerhet för autentiseringsuppgifter | Använd kortlivade autentiseringsuppgifter och workload identity i stället för långlivade hemligheter | Identitetskonfiguration, inställningar för tokenutgång, loggar för hemlighetsrotation |
| Principen om minsta privilegium | Separera roller för bygg, test, signering och driftsättning | Rolldefinitioner, åtkomstgranskning, exporter av behörigheter |
| Nätverkskontroll | Begränsa utgående åtkomst och blockera onödig produktionsanslutning | Brandväggsregler, exporter av nätverkspolicyer, egressloggar |
| Baslinjeintegritet | Patcha runneravbildningar och registrera godkända versioner | Avbildningsförteckning, patchrapporter, digestvärden för byggavbildningar |
| Cacheskydd | Förhindra kontaminering mellan projekt via byggcacher | Cachepolicy, inställningar för projektisolering |
| Övervakning | Logga administrativa åtgärder, konfigurationsändringar och jobbavvikelser | CI/CD-revisionsloggar, SIEM-händelser, larmposter |
Policy för testdata och testmiljö Policy för testdata och testmiljö anger:
”Integration med CI/CD-pipelines ska säkerställa separation av miljöer och autentiseringsuppgifter.”
En runner som kan driftsätta till staging och produktion med samma modell för autentiseringsuppgifter bryter i praktiken mot miljöseparation, även om infrastrukturen är logiskt separerad. Clarysec rekommenderar normalt separata driftsättningsidentiteter per miljö, separata godkännandegrindar för produktion och uttryckliga kontroller som hindrar jobb i lägre miljöer från att komma åt produktionshemligheter.
Zenith Blueprint, fasen Controls in Action, steg 21, förstärker detta genom separation av utvecklings-, test- och produktionsmiljöer:
”Om CI/CD används, bekräfta att driftsättningspromotering mellan miljöer är kontrollerad och kräver granskning eller godkännande. Dokumentera detta i er procedur för miljöhantering och ta skärmdumpar eller konsolutdrag som stöd.”
Vid en verklig revision innebär det att revisorn inte bara ska se ett diagram. Revisorn ska se konsolutdrag som visar miljöspecifika autentiseringsuppgifter, skyddade driftsättningsmiljöer, godkännandegrindar och loggar som visar att promoteringen var kontrollerad.
Driftsättningsunderlag: efterlevnadsartefakten som ligger mitt framför ögonen
De mest mogna DevSecOps-teamen behandlar inte bevisinsamling som en kvartalsvis panikinsats. De utformar pipelines så att underlag genereras automatiskt.
Loggnings- och övervakningspolicy för små och medelstora företag Loggnings- och övervakningspolicy för små och medelstora företag identifierar relevanta logghändelser som:
”Systemloggar: Konfigurationsändringar, administrativa åtgärder, programvaruinstallationer, patchningsaktivitet”
CI/CD-system producerar alla fyra kategorierna. Ändringar i pipelinekonfiguration påverkar hur programvara byggs. Administrativa åtgärder ändrar vem som kan godkänna eller driftsätta. Programvaruinstallationer sker i byggavbildningar och driftsättningsmål. Patchningsaktivitet kan flöda genom automatiserade releaseprocesser. Dessa händelser ska loggas, bevaras och granskas utifrån risk.
För utredningsberedskap anger P31S Policy för bevisinsamling och forensik för små och medelstora företag Policy för bevisinsamling och forensik för små och medelstora företag:
”Skärmdumpar, exporterade loggar och filhashar ska lagras tillsammans med filen för beviskedjan.”
Detta är särskilt viktigt efter en misstänkt pipelinekompromettering. Enbart skärmdumpar är svagt underlag. Loggar utan hashar kan ifrågasättas. En fil för beviskedjan utan källreferenser är ofullständig.
En försvarbar post för produktionsdriftsättning bör omfatta följande.
| Underlagspost | Minsta innehåll | Primär källa | Efterlevnadsvärde |
|---|---|---|---|
| Ändringsbegäran | Verksamhetsbehov, risknivå, godkännande, ändrings-ID, rollback-plan | JIRA, ServiceNow, Git-ärende | ISO 27002 8.32, DORA Article 9 |
| Källkodspost | Kodarkiv, commit, branch, godkännanden av pull requests | Git, GitHub, GitLab, Azure DevOps | ISO 27002 8.25, NIS2 Article 21 |
| Byggpost | Pipeline-ID, runner-ID, byggloggar, beroendedata | CI/CD-plattform | ISO 27002 8.25, underlag för IKT-leveranskedjan |
| Intyg om byggproveniens | Signerad post över byggindata, miljö och process | CI/CD-verktyg, SLSA-kompatibelt arbetsflöde | ISO 27002 5.21, stöd för CRA Annex I |
| Post för säkerhetsgrind | Resultat från SAST, SCA, DAST, container- och IaC-skanningar | Säkerhetsverktyg, pipelineloggar | ISO 27002 8.29, DORA Article 9 |
| Artefaktpost | Hash, signatur, registersökväg, oföränderlig digest | Artefaktregister | ISO 27002 8.25, underlag för säkra uppdateringar enligt CRA |
| Driftsättningspost | Miljö, aktör, tidsstämpel, produktionsgodkännande | GitOps, driftsättningsplattform | ISO 27002 8.32, DORA Article 10 |
| Övervakningspost | Hälsokontroller och anomalikontroller efter driftsättning | SIEM, observability-plattform | Förväntningar i DORA på detektering och respons |
| Bevarande av underlag | Exporterade loggar, skärmdumpar, hashar, beviskedjepost | Underlagsarkiv | ISO 27002 5.28, incidentutredning |
Detta paket omvandlar CI/CD från en serie tekniska steg till en berättelse om styrning, kontroll och leverantörsgranskning.
Mappning av CI/CD-styrning mot NIS2, DORA, GDPR och CRA
NIS2 gäller för många väsentliga och viktiga entiteter, inklusive digital infrastruktur, IKT-tjänstehantering och digitala leverantörsorganisationer där kriterierna är uppfyllda. Article 20 är särskilt relevant eftersom den skapar cybersäkerhetsskyldigheter på ledningsnivå. Ledningsorgan ska godkänna åtgärder för cybersäkerhetsriskhantering, övervaka genomförandet och få utbildning.
Article 21 ger baslinjen för riskhantering. Den kräver lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder som omfattar riskanalys, policyer, incidenthantering, verksamhetskontinuitet, säkerhet i leveranskedjan, säker anskaffning, utveckling och underhåll, sårbarhetshantering, effektivitetsbedömning, cyberhygien, kryptografi, HR-säkerhet, åtkomstkontroll, tillgångshantering och MFA där det är lämpligt.
| Tema i NIS2 Article 21 | Tolkning för CI/CD-styrning |
|---|---|
| Riskanalys och policyer | Hotmodellering för pipelinen, policy för säker utveckling, riskbedömning av runners |
| Incidenthantering | Åtgärdsplan för pipelinekompromettering, återkallelse av artefakter, styrning av akuta releaser |
| Verksamhetskontinuitet | Återställning av källkodshantering, artefaktregister och driftsättningsautomatisering |
| Säkerhet i leveranskedjan | Tredjepartsåtgärder, paket, outsourcad utveckling, registerberoenden |
| Säker utveckling och säkert underhåll | Säker utvecklingslivscykel, kodgranskning, testning, sårbarhetshantering |
| Effektivitetsbedömning | Kontrolltestning av pipeline, revisionsurval, mätetal och undantag |
| Åtkomstkontroll och MFA | Kodarkiv, CI/CD-administration, runnerregistrering, roller för produktionsdriftsättning |
| Kryptografi | Artefaktsignering, skydd av hemligheter, nyckelhantering |
Article 23 lägger till stegvis rapportering av betydande incidenter, inklusive tidig varning inom 24 timmar från kännedom, incidentanmälan inom 72 timmar och en slutrapport senast en månad efter incidentanmälan. Om en CI/CD-kompromettering kan orsaka allvarlig driftstörning, ekonomisk förlust eller väsentlig skada för andra måste processen för incidentklassificering vara klar innan incidenten inträffar.
För finansiella entiteter gäller DORA från den 17 januari 2025 och omfattar IKT-riskhantering, incidentrapportering, resiliensprovning, informationsdelning, IKT-tredjepartsriskhantering och avtalskrav. Article 5 kräver ett internt styrnings- och kontrollramverk för IKT-risk, med ansvar hos ledningsorganet. Article 6 kräver ett dokumenterat ramverk för IKT-riskhantering som är integrerat i den övergripande riskhanteringen.
Articles 8 to 14 mappar direkt mot styrning av CI/CD-pipelines. Finansiella entiteter ska identifiera och klassificera IKT-stödda verksamhetsfunktioner, tillgångar, beroenden, hot och sårbarheter. De ska skydda IKT-system genom policyer, åtkomstkontroller, stark autentisering, skydd av kryptografiska nycklar, kontrollerad IKT-ändringshantering, patchning och segmentering. De ska detektera avvikelser, svara, återställa och dra lärdom av incidenter.
Articles 28 to 30 är lika viktiga eftersom CI/CD-plattformar, leverantörer av källkodshantering, artefaktregister, molnbaserade byggsystem och outsourcade utvecklare kan vara IKT-tredjepartsberoenden. DORA förväntar sig leverantörsgranskning, avtalsmässiga skyddsåtgärder, bedömning av koncentrationsrisk, revisions- och inspektionsrättigheter, uppsägningsutlösare, exitstrategier och servicenivåklausuler.
GDPR tillför ansvarsskyldighetsperspektivet. Article 5 kräver att personuppgifter behandlas lagligt, korrekt och transparent, för specificerade ändamål, minimerat, korrekt, endast bevarat så länge det behövs och skyddat mot obehörig eller olaglig behandling samt oavsiktlig förlust, förstöring eller skada. Article 5(2) kräver att den personuppgiftsansvarige kan visa efterlevnad.
CI/CD-pipelines är viktiga för GDPR eftersom utvecklare kan använda produktionsdata i testmiljöer, pipelineloggar kan exponera personuppgifter eller token, releaser kan ändra behandlingslogik och komprometterade artefakter kan orsaka personuppgiftsincidenter. När programvaruändringar påverkar dataskyddskontroller bör ändringsposten fånga integritetspåverkan. När en pipelineincident orsakar obehörig åtkomst till personuppgifter ska incidentbedömningen kopplas till incidenthanteringen.
CRA-förväntningar tillför produktsäkerhet och underlag för säkra uppdateringar. För tillverkare och programvaruleverantörer som släpper produkter med digitala komponenter på EU-marknaden förväntar sig kunder i allt högre grad produktsäkerhetsfiler, underlag för sårbarhetshantering, kontroller för säkra uppdateringar och releaseintegritet. CI/CD-styrning tillhandahåller stora delar av detta underlag genom källkodsspårbarhet, signerade artefakter, resultat från sårbarhetsskanningar, release notes, säkerhetskorrigeringar och poster över uppdateringsdistribution.
NIST CSF 2.0 och COBIT 2019: revisionsperspektivet bortom ISO
NIST CSF 2.0 ger ett integrationslager för cybersäkerhetsstyrning. Dess Core, Organizational Profiles och Tiers hjälper organisationer att förstå nuvarande och målbild för säkerhetsläget, prioritera åtgärder i linje med rättsliga och regulatoriska krav samt kommunicera cyberrisk.
För CI/CD skapar Clarysec ofta en Software Delivery Pipeline Profile. Current Profile fångar hur källkodshantering, runners, artefaktsignering och driftsättningsgodkännanden fungerar i dag. Target Profile definierar det kravställda läget för reglerad verksamhet. Gap-planen blir genomförandefärdplanen.
NIST-funktionen GOVERN är särskilt relevant. GV.OC-03 kräver att rättsliga, regulatoriska och avtalsmässiga cybersäkerhetskrav förstås och hanteras. GV.RM omfattar riskaptit och standardiserad riskprioritering. GV.RR tilldelar ledningsansvar, roller och resurser. GV.PO kräver att policyer för cybersäkerhetsrisk etableras, tillämpas, granskas och uppdateras. GV.OV omfattar tillsyn och prestationsutvärdering.
En revisor med COBIT 2019- eller ISACA-inriktning tittar ofta mindre på den kryptografiska detaljen i artefaktsignering och mer på styrningsdesignen. Revisorn frågar om ägarskap är definierat, om change enablement är kontrollerat, om tredjepartstjänster riskhanteras, om övervakning ger kontrollsäkring, om undantag godkänns och om ledningen får meningsfull rapportering.
| Revisionsperspektiv | Sannolik revisionsfråga | Underlag som besvarar den |
|---|---|---|
| ISO/IEC 27001:2022-revisor | Ingår CI/CD i ISMS-omfattning, riskbedömning, tillämpbarhetsförklaring och operativa kontroller? | ISMS-omfattning, riskregister, SoA-mappning, policyklausuler, driftsättningsexempel |
| Kontrollgranskare enligt ISO/IEC 27002:2022 | Är säker utvecklingslivscykel, miljöseparation, åtkomstkontroll, ändringshantering och bevisinsamling införda? | Branchskydd, miljöautentiseringsuppgifter, godkännanden, artefaktsignaturer, loggar |
| NIS2-bedömare | Har ledningen godkänt proportionerliga åtgärder för säker utveckling, leveranskedja, åtkomstkontroll, incidenthantering och resiliens? | Styrelseprotokoll, riskbehandlingsplan, mappning mot Article 21, åtgärdsplan för incidenter, leverantörsposter |
| DORA-revisor | Stödjer pipelinen IKT-riskhantering, kontrollerade ändringar, övervakning, testning, incidentrapportering och IKT-tredjepartsstyrning? | IKT-tillgångsförteckning, ändringsposter, detekteringsloggar, incidentklassificering, leverantörsregister |
| GDPR-granskare | Kan organisationen visa säkerhet och ansvarsskyldighet för releaser som påverkar personuppgifter? | Anteckningar från dataskyddsgranskning, testdatakontroller, åtkomstloggar, arbetsflöde för incidentbedömning |
| NIST CSF 2.0-bedömare | Vilket är pipelinens nuvarande respektive önskade säkerhetsläge och prioriterade förbättringsplan? | CSF-profil, gapanalys, POA&M, mätetal, poster över riskacceptans |
| COBIT 2019- eller ISACA-revisor | Är roller, ansvar, processkontroller, prestationsmått och kontrollsäkringsaktiviteter definierade? | RACI, lista över kontrollägare, KPI- och KRI-rapporter, internrevisionsresultat, undantagsregister |
Vanliga CI/CD-brister vid revision och mätetal på styrelsenivå
De flesta revisionsiakttagelser om CI/CD är förutsägbara. Den första är okopplat underlag. Teamet har Git-loggar, pipelineloggar och driftsättningsloggar, men ingen enskild ändringspost binder ihop dem. Den andra är överprivilegierad automatisering, där ett jobb kan läsa produktionshemligheter, pusha artefakter, godkänna driftsättningar och ändra pipelinedefinitioner. Den tredje är persistenta delade runners, som skapar kontamineringsrisk mellan projekt och gör forensisk avgränsning svårare efter kompromettering.
Andra vanliga brister omfattar osignerade eller överskrivna artefakter, informella åsidosättanden av skanningar, leverantörsblindhet och integritetsläckage i loggar. En bra pipeline tillåter undantag, men kräver godkännande, utgångsdatum, riskägarskap och granskning.
Säkerhetsledare bör undvika att endast rapportera antal skanningar till styrelsen. Rapportera i stället mätetal för releasetillit:
- Andel produktionsdriftsättningar som är kopplade till godkända ändringsposter.
- Andel produktionsartefakter som är signerade och spårbara till källkods-commits.
- Antal driftsättningar som använder undantag eller akuta godkännanden.
- Andel privilegierade CI/CD-användare med MFA och aktuell åtkomstgranskning.
- Antal aktiva långlivade autentiseringsuppgifter för driftsättning.
- Andel kritiska tjänster som använder härdade eller temporära runners.
- Genomsnittlig tid för att återkalla eller rotera pipelinehemligheter efter en incident.
- Antal kritiska leverantörsberoenden som stödjer programvaruleverans.
- Fullständighetsgrad för underlag i revisionsurval av releaser.
Dessa mätetal stödjer ledarskap, planering och operativ styrning enligt ISO/IEC 27001:2022. De stödjer också ledningens tillsyn enligt NIS2 Article 20 och DORA:s styrningsförväntningar.
Gör pipelinen granskningsbar före incidenten
Säkerhetsstyrning av CI/CD-pipelines 2026 handlar inte om att bromsa utvecklingsorganisationen. Det handlar om att göra programvaruleverans tillförlitlig, resilient och verifierbar. De bästa programmen använder automatisering för att påskynda underlag, inte för att kringgå styrning.
Ett praktiskt Clarysec-genomförande börjar med tre åtgärder.
- Använd Zenith Blueprint Zenith Blueprint för att placera säker DevOps, åtkomst till källkod, miljöseparation och ändringshantering i er genomförandefärdplan för ISO/IEC 27001:2022.
- Använd Zenith Controls Zenith Controls för att mappa CI/CD-risker över säker utvecklingslivscykel, IKT-leveranskedjan, åtkomstkontroll, ändringshantering, bevisinsamling, NIS2, DORA, GDPR, NIST CSF 2.0 och revisionsperspektiv enligt COBIT 2019.
- Inför Clarysecs policymallar, inklusive Policy för säker utveckling, Ändringshanteringspolicy, Policy för testdata och testmiljö, Policy för säker utveckling för små och medelstora företag, Loggnings- och övervakningspolicy för små och medelstora företag och Policy för bevisinsamling och forensik för små och medelstora företag, för att definiera vem som godkänner releaser, hur artefakter spåras, hur runners kontrolleras och vilket underlag som ska bevaras.
Om ert nästa revisionsurval börjar med ”visa oss produktionsreleasens spår” ska teamet kunna svara på minuter, inte veckor. Det är skillnaden mellan DevOps-automatisering och styrd programvaruleverans.
Ladda ner Clarysecs policyverktygslåda, granska er CI/CD-pipeline mot Zenith Blueprint och Zenith Controls, eller boka en Clarysec-bedömning för att omvandla pipelinen från en källa till revisionsoro till en hörnsten i digital resiliens.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
