Eine CI/CD-Pipeline (Continuous Integration / Continuous Delivery) ist ein automatisierter Ablauf, der Code-Änderungen durch Build, Test und Deployment führt. CI sorgt dafür, dass Änderungen regelmäßig integriert und getestet werden; CD automatisiert die Auslieferung in Staging- oder Produktionsumgebungen.
Im ISMS sind CI/CD-Pipelines relevant für ISO 27001 Annex A Controls A.8.25 (Sichere Entwicklung), A.8.31 (Trennung von Entwicklungs-, Test- und Produktionsumgebungen) und A.8.32 (Änderungsmanagement). Sicherheitsmaßnahmen innerhalb der Pipeline umfassen: SAST/DAST-Scans, Dependency-Checks, Container-Image-Scanning, Branch Protection und signierte Artefakte. Die Pipeline selbst ist ein Angriffsziel — schütze Build-Secrets, verwende minimale Runner-Berechtigungen und logge alle Pipeline-Ausführungen.