Une observation est une constatation de non-conformité ou de déficience identifiée lors de la surveillance des contrôles, qui représente une différence entre ce que les contrôles de sécurité devraient faire et ce qu'ils font réellement. Les observations peuvent résulter de déficiences de conception, de problèmes d'efficacité opérationnelle ou de lacunes dans les preuves. L'équipe de sécurité de GitLab gère ces observations à travers un processus de cycle de vie, allant de l'identification à la résolution, permettant des rapports d'état transparents en temps réel. Les étapes du cycle de vie comprennent l'identification, la validation, en cours, résolu et résolution. La gestion efficace des observations ne devrait pas nécessiter de travail de détective pour déterminer des informations de base comme la propriété, le statut ou la priorité. L'équipe de conformité sécurité de GitLab a initialement utilisé un outil GRC dédié, mais manquait de visibilité pour les parties prenantes clés, ce qui a entraîné une remédiation minimale. Ils ont déplacé la gestion des observations vers les problèmes GitLab, transformant les observations en éléments de travail visibles et actionnables qui s'intègrent dans les workflows de développement et d'opérations. Cette approche crée de la transparence et de la responsabilité, permettant aux parties prenantes de voir ce qui nécessite attention, de collaborer sur les plans de remédiation et de suivre les progrès en temps réel. L'équipe utilise des étiquettes et des tableaux de problèmes pour catégoriser les observations, prioriser les constatations critiques et suivre la résolution des observations spécifiques à la certification. En exploitant les données brutes des problèmes GitLab, les organisations peuvent extraire des informations significatives et mesurer l'efficacité de la gestion des observations à travers des métriques clés et des rapports.