وقف تمويل برنامج الثغرات الأمنية الشائعة CVE !

صدمة كبيرة حصلت بسبب ما تقوم به الحكومة الأمريكية بقيادة رئيسها دونالد ترامب، من وقف التمويل لأبحاث العديد من جامعات بلادها، وبرامج الهيئات والوكالات والجمعيات العاملة في كل أركانها، والذي أدى إلى حدوث ارتباكات كثيرة وعديدة للباحثين ومن يهمه استمرارية أمور عدة كانت تقوم بها، ومن أمثلة البرامج التي تأثرت بها برنامج الثغرات الأمنية الشائعة، والذي كان قد أحدث صدى كبير إلى حد المطالية باستقلالية وسلامة الجهات المعنية بأمن المعلومات والأمن السييبراني، والذي جعلها أيضا تطلق مبدارات من أجل ذلك، وهو ما سنتداوله في هذا المقال.

التسريبات على منصة التواصل الاجتماعي بلوسكاي بشأن توقف البرنامج

1 خطاب منظمة ميتري MITRE

بحسب خطاب تم تسريبه على منصة التواصل الاجتماعي بلوسكاي BlueSky، تم تداول بأن التمويل الفيدرالي الأمريكي توقف عن تمويل برنامج الثغرات الأمنية الشائعة، وذلك بعد ربع قرن من التشغيل والإدارة من قبل منظمة اسمها ميتري، وهي منظمة أمريكية غير ربحية مقرها في كل من بيدفورد في ولاية ماساتشوستس الأمريكية، وماكلين الواقعة في ولاية فيرجينيا الأمريكية أيضا، حيث تقوم بإدارة مراكز البحث والتطوير الممولة فيدراليا، والتي تدعم مختلف الوكالات الحكومية الأمريكية في مجالات الطيران والدفاع والرعاية الصحية والأمن الداخلي والأمن السيبراني وغيرها، ومن الجدير بالذكر أن منظمة ميتري لطالما لعبت دورا محوريا في تنظيم وإدارة هذه المبادرات بتوازن ما بين المصالح الحكومية والمجتمع المدني التقني.

وكان هناك كلام تم تداوله أن المعهد الوطني للمعايير والتكنولوجيا توقف عن دعم الثغرات الأمنية الشائعة CVE، ولكن هذا فعليا لم يحدث، ولكن طرأت بعض الالتباسات مؤخرا بسبب التغييرات في كيفية تعامل المعهد الوطني مع البيانات المتعلقة بالثغرات الأمنية في برنامج قاعدة بيانات الثغرات الوطنية.

برنامج قاعدة الثغرات الأمنية الوطنية NVD هو مستودع معلومات حول عيوب البرامج والأجهزة التي قد تعرض أمن الحاسوب للخطر. تعد هذه القاعدة جزءا أساسيا من البنية التحتية للأمن السيبراني في الولايات المتحدة الأمريكية.

2 كاتب الخطاب وتفاصيل ما كتبه

أما بالنسبة لكاتب الخطاب الذي تم تداوله على شبكة التواصل الاجتماعي فهو وهو نائب رئيس منظمة ميتري، يسري بارسوم Yosry Barsoum، وهو أيضا يعمل كمدير مركز تأمين الوطن الأمريكي Center for Securing the Homeland، وهو مركز يقوم بتعزيز الأمن القومي للولايات المتحدة من خلال توفير برامج وخدمات تعليمية على مستوى الدراسات العليا تلبي الاحتياجات القيادية الفورية وطويلة الأمد للمنظمات المسؤولة عن الدفاع والأمن الوطني.

وكان قد وجه هذا الخطاب إلى أعضاء مجلس إدارة برنامج CVE، حيث أفاد الخطاب بشأن ما يتعلق باستمرارية الدعم التمويلي من قبل منظمة ميتري الجهة الرسمية الداعمة للبرنامج المؤرخ في الخامس عشر من شهر نيسان / إبريل لعام 2025م حيث إن مسار التعاقد مع المنظمة التي تعمل على تطوير وتشغيل وأيضا تحديث برنامج الثغرات ستنتهي صلاحيته، وأيضا لبرامج أخرى تعمل على عليها ميتري، كبرنامج تعداد نقاط الضعف الشائعة، وأن الحكومة تحاول بطريقة ما بذل جهد لضمان استمرار دور ميتري في دعم برامجها.

وأفاد الكتاب أيضا بأنه في حال انقطاع التمويل، فإنه بالتالي سيعمل على التأثير، وعلى تدهور قواعد بيانات الثغرات الوطنية الوطنية، وأضاف أن ذلك سيؤثر أيضا على موردي الأدوات التقنية وعمليات الاستجابة للحوادث، وكل ما يخص بالبنية التحتية الحيوية.

وفي نهاية الخطاب الموجه لمجلس إدارة الثغرات الأمنية الشائعة من قبل نائب الرئيس منظمة ميتري وأيضا مدير مركز تأمين الوطن للأمريكي CSH، أن المنظمة ستظل ملتزمة بالدعم للبرنامج كمورد عالمي وشكرتهم على شراكتهم المستمرة.

ما هو برنامج CVE؟ ولماذا يهمنا جميعا؟

كلمة CVE هي اختصار لجملة Common Vulnerabilities and Exposures، وهي قاعدة بيانات عالمية ترصد الثغرات الأمنية الشائعة التي تكتشف في البرمجيات والأجهزة على مستوى العالم، وتستخدم بيانات البرنامج من قبل مطوري البرمجيات، ومصنعي الأجهزة الإلكترونية التي يتم ربطها بشبكات الحاسوب، وأيضا من قبل مؤسسات الحماية بل وحتى الحكومات، لبناء استجابات فعالة ضد التهديدات السيبرانية.

كان البرنامج متواجد على الموقع الإلكتروني لمنظمة ميتري MITRE، ولكن في عام 2021 تم إطلاق موقـع مسـتقل ليقدم خدماته بشكل أفضل وهو www.cve.org، ولدى البرنامج واجهة للربط البيني API من أجل استخدامه من قبل أي جهة مهتمة به.

إذا حصل انقطاع أو تأثر هذه المبادرة لا يعني فقط تأخرا في تصنيف الثغرات، بل إنه من الممكن أن يؤدي إلى ما يلي:

1. تدهور في برنامج قاعدة بيانات الثغرات الوطنية.
2.  تعطيل تنبيهات وتحديثات الحماية التي تعتمد عليها آلاف الشركات.
3. إرباك في استجابات الحوادث الأمنية.
4. تهديد مباشر للبنية التحتية الرقمية الحيوية.

هل هناك توقف فعلي للتمويل؟

لم تؤكد منظمة متري توقفا نهائيا، لكنها أوضحت أن الحكومة تواصل بذل جهود كبيرة لضمان استمرار الدور الحيوي لها، ما يعني أن هناك مفاوضات قائمة، ولكن مصيرها لم يحسم بعد، بالرغم أن الرسالة حملت نبرة تحذيرية، لكنها أيضا أكدت التزامها الكامل بمواصلة دعم البرنامج كمورد عالمي، مشيرة إلى أهمية التعاون مع أعضاء مجلس الإدارة لتجاوز هذه المرحلة الحرجة.

برامج CVE وCWE تواصل العمل بشكل طبيعي

خلال أربع وعشرين ساعة التي أتت بعد خطاب نائب رئيس منظمة ميتري، قامت الأمانة العامة لبرنامج الثغرات الأمنية الشائعة بإرسال خطاب لأعضاء مجلس إدارتها بأنه وبفضل الإجراءات التي اتخذتها الحكومة الأمريكية، تم تجنب انقطاع البرنامج، وبرنامج تعداد نقاط الضعف الشائعة.

وأشاد الخطاب بالدعم الكبير التي عبرت عنه مجتمعات الأمن السيبراني في جميع المجالات وفي العالم، وأنه سيتم استمرار البرامج بشكل طبيعي، وشكرت الأمانة العامة أيضا أعضاء المجلس صبرهم وتفهمهم.

ما حصل فعلا هو أنه تم تمديد فعليا فترة التمويل للبرنامج، من قبل وكالة الأمن السيبراني والبنية التحتية، بحسب موقع “أخبار الأمن السيبراني” Cyber Security News، وقال الوكالة بأنها قد مدة عقدها مع منظمة ميتري لضمان استمرار تشغيل برنامج “الثغرات الأمنية الشائعة، وقالت أن البرنامج بالنسبة لها يعتبر ركيزة أساسية للأمن السيبراني العالمي الذي كان قريبا جدا من فقدان التمويل الفيدرالي، وقالت في تصريحها أن الأزمة بدأت عندما أكدت منظمة ميتري أن العقد مع وزارة الأمن الداخلي الأمريكية DHS لتشغيل البرنامج سينتهي في 16 أبريل 2025 دون تجديد.

وضع المجتمع السيبراني العالمي في حال عدم التمويل؟

أي خلل في مسار برنامج CEV، فإنه سينعكس فورا على سلسلة الثقة في الأمن السيبراني العالمي، فالباحثون الأمنيون، وموردو أنظمة وأجهزة الحماية، وحتى الأنظمة التلقائية التي تعتمد على البرنامج، قد تجد نفسها فجأة أمام فراغ معلوماتي.

البداية الفعلية للأزمة

قصة التعثر لم تبدأ فعليا بسبب إنقطاع التمويل، بل في أوائل عام 2024، عندما أعلن المعهد الوطني للمعايير والتكنولوجيا تأجيل إثراء وتحليل سجلات الثغرات الأمنية الشائعة في برنامج قاعدة بيانات الثغرات الوطنية نظرا لقلة الموارد وتزايد عدد الثغرات الأمنية المنشورة.

لماذا أقدم المعهد الوطني للمعايير والتكنولوجيا NIST على ذلك؟

وفقا للمعهد الوطني للمعايير والتكنولوجيا، فقد أصبح من الصعب إدارة العدد الهائل من الثغرات الأمنية الشائعة الموثقة والتي تعدادها عشرات الآلاف سنويا، وقد وضع المعهد قيودا على الموظفين والموارد، وعمل على تقييم كيفية تحديث وتوسيع نطاق عملياته لتحليل الثغرات الأمنية.

وقد صرح المعهد الوطني بأنه يعمل على الشراكة مع قطاع الصناعة والوكالات الفيدرالية الأخرى، وتحسين الأتمتة والبنية التحتية، واستئناف الإثراء حسب ما تسمح به الموارد والعمليات.

هذا وتواصل منظمة متري إدارة ونشر سجلات ثغرات الثغرات الأمنية الشائعة، ولا تزال منظمات وموردون آخرون كريد هات وهي شركة تابعة لشركة IBM مختصة بنظام التشغيل ريد هات لينوكس، ومايكروسوفت وغيرهما، يقدمون بيانات وتحليلات ثغرات الثغرات الأمنية الشائعة، وأما بالنسبة لقاعدة بيانات الثغرات الوطنية التابع للمعهد الوطني للمعايير والتكنولوجيا، فإنه لا يزال متاحا عبر الإنترنت، ولكن مع إثراء محدود لهذه الثغرات مؤخرا.

ماذا فعلت وكالة الأمن السيبراني وأمن البنية التحتية CISA لهذه المشكلة؟

كثفت وكالة الأمن السيبراني وأمن البنية التحتية جهودها استجابة لتباطؤ نشاط برنامج قاعدة بيانات الثغرات الوطنية التابع للمعهد الوطني للمعايير والتكنولوجيا، وأقرت بوجود مشكلة انخفاض إثراء CVE التابع للمعهد الوطني للمعايير والتكنولوجيا، والذي يؤثر على مجتمع الأمن السيبراني الأوسع، وخاصة أولئك الذين يعتمدون على تقييم الخطورة في الوقت المناسب، وبيانات قابلية الاستغلال، وتقييمات الأثر.

1. إطلاق الوكالة جهودها الخاصة لإثراء برنامج الثغرات الأمنية الشائعة

• في آذار / مارس 2024، أعلنت وكالة الأمن السيبراني وأمن البنية التحتية أنها ستبدأ في إثراء بيانات برنامج CVE بشكل مستقل للمساعدة في سد الفجوة التي خلفها تباطؤ المعهد الوطني، وذلك لأن الوكالة تعطي الأولوية للثغرات التي تؤثر على البنية التحتية الحيوية والأنظمة الفيدرالية في الولايات المتحدة الأمريكية.
• وتعمل الوكالة على التكامل بين هذا البرنامج مع مجلد الثغرات الأمنية المستغلة المعروفة KEV، وتواصل العمل على صيانة وتحديثه، وتحاول العمل على إنشاء نظام بيئي أكثر مرونة لإدارة الثغرات الأمنية، حيث إن هذا المجلد يعمل على تحديد الثغرات الأمنية الشائعة، وأيضا يعطي الأولوية القصوى للثغرات التي يتم استخدامها في الهجمات الواقعية، ويوجه الجهات الحكومية والخاصة إلى ضرورة معالجتها.
• وتضيف الوكالة أنها لا تزال تضيف ثغرات جديدة إلى مجلد الثغرات الأمنية المستغلة المعروفة حتى مع تأخر برنامج قاعدة بيانات الثغرات الوطنية في إضافة الثغرات والتفاصيل المعنية بها، وهذا المجلد، وبدء عملية الإثراء الخاصة بها، والدفع نحو نهج أكثر تعاونا للمضي قدما.

2. ما هو البيان الرسمي لوكالة الأمن السيبراني وأمن البنية التحتية بشأن ما حدث؟

• حتى قبل صدور قرار الوكالة الرسمي بتمديد العقد لتمويل CVE، لم تصدر بيانا رسميا يشير إلى وقف دائم لدعم البرنامج، ولكنها اتخذت خطوات استباقية لمواجهة التحديات المتعلقة بإثراء بيانات البرنامج ونشرها، واستجابة للتأخيرات في قاعدة بيانات برنامج نقاط الضعف الوطنية التي يديرها المعهد الوطني، أطلقت الوكالة مبادرة تسمى “إثراء نقاط الضعف”.
• يهدف هذا البرنامج إلى تحسين سجلات الثغرات الأمنية الشائعة ببيانات وصفية إضافية، بما في ذلك درجات نظام تقييم نقاط الضعف الشائعة CVSS، ومعرفات تعداد نقاط الضعف الشائعة CWE، ونقاط قرار تصنيف نقاط الضعف الخاصة بأصحاب المصلحة SSVC.
• تدمج نقاط البيانات المثرية هذه في موجزات الثغرات الأمنية الشائعة الحالية، مما يسهل تحديد الأولويات وجهود المعالجة لمتخصصي الأمن السيبراني، وذلك تحت مبادرتها التي أطلقتها إثراء الثغرات الأمنية Vulnrichment، وهذه البيانات يتم دمجها مع سجلات CVE لتعويض غياب التحليل في برنامج قاعدة بيانات الثغرات الوطنية، وjمثل مبادرة CISA خطوة استباقية لتعزيز ممارسات الأمن السيبراني في ظل التحديات المتزايدة في المشهد الرقمي، وذلك من خلال تعزيز بيانات CVE المتاحة لمجتمع الأمن السيبراني، وتساعد CISA على ضمان قدرة الجهات المعنية على دمج تحديثات الأمان بشكل أكثر فعالية في عمليات إدارة الثغرات الأمنية الخاصة بهم. تسعى الوكالة جاهدة للحصول على آراء خبراء أمن تكنولوجيا المعلومات حول هذا الجهد، وتتوقع أن يتطور المشروع بسرعة لتلبية احتياجات الأمن السيبراني الناشئة.
• علاوة على ذلك، قدمت الوكالة تمويلا إضافيا لبرنامج الثغرات الأمنية الشائعة الذي تديره ميتري، مما يضمن استمرارية هذا المورد الحيوي للأمن السيبراني، وأكد متحدث باسم الوكالة على أهمية البرنامج، قائلا: “يعد برنامج CVE ذا قيمة لا تقدر بثمن لمجتمع الأمن السيبراني، وهو من أولويات وكالة الأمن السيبراني وأمن البنية التحتية”.
• أما عن الوضع الحالي لبرنامج الثغرات الأمنية الشائعة، ففي 16 نيسان / إبريل 2025 أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية بيانا رسميا بشأن تمويل البرنامج، وأكدت فيه أنها قامت بتمديد العقد مع ميتري لضمان عدم حدوث أي انقطاع في خدمات البرنامج الحيوي، وأضافت أن فترة التمديد ستكون لمدة 11 شهرا، مما يضمن استمرار التشغيل دون انقطاع.
• بالإضافة إلى ذلك، أعلن أعضاء من مجلس إدارة الثغرات الأمنية الشائعة تأسيس مؤسسة الثغرات الأمنية الشائعة CVE Foundation، بحيث تعرف على أنها منظمة غير ربحية تهدف إلى ضمان استدامة البرنامج واستقلاليته على المدى الطويل، مما يقلل من الاعتماد على التمويل الحكومي الأمريكي.

3. التعاون المفتوح

• تستكشف الوكالة طرقا للتمويل الجماعي وأتمتة عملية الإثراء، وربما تولي بعض المهام التي كان يقوم بها المعهد الوطني يدويا، وتتدخل للمساعدة في تحليل وإثراء الثغرات الأمنية الشائعة، وخاصة الحرجة منها، بينما يعلقها المعهد الوطني مؤقتا، وتعمل الهيئة على تعزيز مجلد الثغرات الأمنية المستغلة المعروفة، وبدء عملية الإثراء الخاصة بها، والدفع نحو نهج أكثر تعاونا للمضي قدما.

ما موقف المعهد الوطني للمعايير والتكنولوجيا الحالي؟

قال المعهد أن هناك تراكم متزايد من الثغرات الأمنية المقدمة إلى قاعدة بيانات الثغرات الوطنية والتي تتطلب تحليلا، ويستند هذا إلى عوامل مختلفة، منها زيادة في البرامج، وبالتالي في برنامج الثغرات الأمنية الشائعة، بالإضافة إلى تغيير في الدعم المشترك بين الوكالات.

وقال المعهد بأنهم يعطون حاليا الأولوية لتحليل أهم الثغرات الأمنية، بالإضافة أنهم يعملون مع شركاء بحسب المعهد في الوكالات الأخرى لتوفير المزيد من الدعم لتحليل الثغرات الأمنية، وأنهم أعادوا تعيين موظفين إضافيين من المعهد الوطني لهذه المهمة أيضا.

وأضاف المعهد بأنهم يبحثون عن حلول طويلة الأجل لهذا التحدي، بما في ذلك إنشاء تحالف يضم جهات صناعية وحكومية وجهات معنية أخرى يمكنها التعاون معها في مجال البحوث لتحسين قاعدة البيانات الثغرات الوطنية الأمنية.

وشدد المعهد بأنه ملتزم بدعمه المستمر وإدارة مشروع برنامج قاعدة بيانات الثغرات الوطنية، وأنه يركز حاليا على خططنا الفورية لمعالجة تراكمات CVE، ونعتزم إبقاء المجتمع على اطلاع دائم بالخطط المحتملة حال تطورها.

الخاتمة

تعكس هذه الأزمة أهمية وجود نموذج تمويلي واستراتيجي مستدام لإدارة الثغرات الأمنية عالميا، وذلك بدلا من الاعتماد الحصري على التمويل الحكومي، وأن التعاون بين المؤسسات التقنية والجهات الفيدرالية، إلى جانب مبادرات مثل Vulnrichment، قد يكون الأساس لحماية البنية التحتية الرقمية في المستقبل.

المصادر

1. https://www.nist.gov/itl/nvd/nvd-news
2. https://www.bleepingcomputer.com/news/security/cisa-extends-funding-to-ensure-no-lapse-in-critical-cve-services/?utm_source=chatgpt.com
3. https://www.cisa.gov/sites/default/files/styles/ckeditor_large/public/2025-04/SOCIALWEBCVEProgramQuote_IMAGECTA.png?itok=WpCywMgk
4. https://nvd.nist.gov/general/news/nvd-program-transition-announcement?utm_source=chatgpt.com
5. https://cybermaterial.com/cisa-introduces-vulnrichment-for-cve-updates/