Så ser det ut i praktiken

En Golden Path är inte ett diagram. Det är er hela leveransprocess — med styrning inbyggd.

De flesta organisationer har komplexa delivery-processer: från behov till release, genom kod, test, godkännande och produktion. Med roller, verktyg, miljöer och regler utspridda i Confluence-sidor, Jira-konfigurationer och muntliga överenskommelser.

En Golden Path samlar allt det i en enda exekverbar väg — där säkerhetskontroller, audit trail, RACI, compliance och kvalitetsgrindar är inbyggda i varje steg. Inte som en process vid sidan av. Som själva plattformen.

Boka Discovery Workshop

Flödet från behov till produktion

Golden Path: Software Delivery — flöde med 8 steg och fyra styrningslager: Säkerhetskontroller, Audit trail & spårbarhet, RACI & operativ modell, Compliance & rapportering

Steg för steg

Åtta steg — ett sammanhängande flöde

  1. Steg 1

    Behov

    PBI / User Story

    Behovet skapas och prioriteras. Kopplat till backlog och roadmap i ert befintliga verktyg (Jira, Azure DevOps, etc).

  2. Steg 2

    Utveckling

    Branch + kod

    Utvecklaren skapar en branch och kodar — manuellt eller AI-assisterat. Golden Path säkerställer rätt branching-strategi och namngivning.

  3. Steg 3

    PR + Review

    Kodgranskning

    Pull Request skapas. Automatisk scanning körs. Kodgranskning med definierade krav. AI-genererad kod flaggas och spåras separat.

  4. Steg 4

    Bygge + Test

    CI / automatiserade tester

    Automatiserat bygge med kvalitetsgrindar: SAST, SCA, enhetstest, kodtäckning. Stoppar om tröskel inte nås.

  5. Steg 5

    Deploy test

    Automatisk

    Deployment till testmiljö sker automatiskt. Miljön provisioneras via Landing Zone med governance inbyggt.

  6. Steg 6

    E2E + Acceptans

    Integrationstest

    End-to-end-tester, säkerhetstester och prestandatester körs automatiskt. Resultat loggas i audit trail.

  7. Steg 7

    Godkännande

    Change approval

    Riskbedömning och godkännande enligt er operativa modell. RACI-roller tillämpas automatiskt. Kopplas till change management.

  8. Steg 8

    Produktion

    Deploy + release

    Deployment till produktion med automatisk verifiering. Rollback-plan inbyggd. Release noteras i audit trail.

Inbyggda styrningslager

Fyra styrningslager som bäddas in i varje steg

Lager 1

Säkerhetskontroller

Säkerhet i varje steg — inte som en grind i slutet

  • SAST (Static Application Security Testing) i CI-pipeline
  • DAST (Dynamic Application Security Testing) i testmiljö
  • SCA (Software Composition Analysis) — tredjepartsberoenden
  • AI-kodgranskning: licensrisker, kvalitetsavvikelser, modellspårning
  • Secret scanning och dependency vulnerability check
  • Säkerhetstester (penetrationstest, fuzzing) i acceptansmiljö

Mappat mot ISMS Annex A (A.8 Tekniska kontroller) och NIS2 artikel 21

Lager 2

Audit trail & spårbarhet

Vem, vad, när — i varje steg, automatiskt
  • Fullständig logg: vem ändrade vad, när, varför
  • AI-genererad kod: vilken modell, vilken version, vem godkände
  • Beslutspunkter: vem godkände deploy, baserat på vilken riskbedömning
  • Mappning mot ISMS Annex A-kontroller (A.5, A.8)
  • Exporterbart i format som intern revision behöver
  • DORA-kompatibel incidentspårning från deploy till produktion

Audit trail levereras i format anpassat för ISO 27001 clause 9.2 intern revision

Lager 3

RACI & operativ modell

Rätt person, rätt ansvar, rätt steg
  • Roller definierade per steg i pipeline: vem granskar, vem godkänner, vem deployer
  • Anpassat efter er operativa modell: DevSecOps, Agile/Scrum, SRE, SAFe, projektmodell
  • Godkännanden kopplade till er teamstruktur — inte plattformens default
  • Eskalering och incidenthantering inbyggt i flödet
  • Product Owner, Change Manager, Security Tester, Developer — rollerna från ert RACI
  • Separation of duties säkerställd automatiskt

RACI kopplas till roller i ert befintliga organisationsschema och ISMS

Lager 4

Compliance & rapportering

Bevisbarhet som lever — inte som skapas inför revision

  • NIS2 artikel 21-krav implementerade som kontroller i pipeline
  • DORA-krav: incidentrapportering, tredjepartsövervakning, resiliens-testning
  • Risker flödar till befintligt riskregister — inte stannar i plattformen
  • Ledningsrapportering i befintligt format — compliance-status, riskexponering
  • Kvalitetsavvikelser flödar till QMS-process (ISO 9001)
  • Continuous compliance — inte punkt-insatser inför revision

Kopplas till ert GRC-verktyg eller manuella process

Utan vs med Golden Path

Utan Golden Path Med Golden Path
Processbeskrivning i Confluence som ingen läser Processen ÄR plattformen — följs per automatik
Säkerhetstester körs manuellt ibland Säkerhetstester körs automatiskt i varje pipeline
Audit trail skapas manuellt inför revision Audit trail genereras automatiskt i varje steg
RACI finns i ett dokument någonstans RACI tillämpas automatiskt i varje godkännandesteg
NIS2-compliance bevisas med excelfiler NIS2-kontroller verifieras kontinuerligt i plattformen
AI-genererad kod granskas inte annorlunda AI-kod flaggas, spåras och granskas med extra rigor
Riskbedömning görs ad hoc Riskbedömning är ett automatiskt steg i flödet
Intern revision ber om data — utvecklare tar fram den Intern revision har realtidsåtkomst till data

"En Golden Path är inte en processkarta som hänger på väggen. Det är en levande process som körs varje gång kod rör sig mot produktion — med säkerhet, spårbarhet, roller och compliance inbyggt i varje steg."

Redo att bygga er Golden Path?

Vi börjar med en Discovery Workshop där vi kartlägger er delivery-process, compliance-status och operativa modell — och designar Golden Paths som passar er verklighet.

Boka Discovery Workshop info@sodalabs.se