انتهت يوم الأربعاء المنقضي تمويلات الحكومة الأميركية المخصصة لتشغيل وصيانة برنامج الثغرات الأمنية والتعرضات الشائعة (CVE) الذي تديره مؤسسة MITRE غير الربحية، في تطور غير مسبوق قد يُحدث زلزالًا في أحد أعمدة الأمن السيبراني العالمي.
ما هو برنامج CVE ولماذا يُعدّ بالغ الأهمية؟
يُعتبر برنامج CVE (Common Vulnerabilities and Exposures) معيارًا دوليًا مرجعيًا لتعريف وتوثيق الثغرات الأمنية المعلنة علنًا، من خلال تخصيص معرفات CVE فريدة لكل ثغرة.
منذ انطلاقه في سبتمبر 1999، قام البرنامج بتوثيق أكثر من 274,000 ثغرة أمنية، وأصبح أداة أساسية لإدارة الثغرات في القطاعين الحكومي والخاص.
توقف التمويل وتأثيره المحتمل
قال يوسري برصوم، نائب رئيس MITRE ومدير مركز تأمين الوطن (CSH)، إن التمويل الخاص بـ تطوير وتشغيل وتحديث برنامج CVE، بالإضافة إلى برامج مكملة مثل تعداد نقاط الضعف الشائعة (CWE)، سينتهي رسميًا.
وفي خطاب موجه إلى أعضاء مجلس إدارة CVE، حذّر برصوم من أن “أي انقطاع في الخدمة قد يؤدي إلى تدهور قواعد بيانات الثغرات الوطنية، وتعطيل عمليات الاستجابة للحوادث، وتضرر البنية التحتية الحيوية.”
وأضاف أن الحكومة الأميركية لا تزال تبذل “جهودًا كبيرة” لضمان استمرار MITRE في إدارة البرنامج، مؤكداً التزام المؤسسة بأن يظل برنامج CVE مصدرًا عالميًا موثوقًا.
استجابة من المجتمع السيبراني
ردًا على هذه الأزمة، أعلنت شركة VulnCheck، وهي جهة مرخصة لترقيم الثغرات (CVE Numbering Authority – CNA)، أنها حجزت بشكل استباقي 1000 معرف CVE لعام 2025 لسد الفراغ المحتمل في حال توقف البرنامج.
وفي السياق ذاته، حذّر جيسون سوروكو، كبير الباحثين في شركة Sectigo، من أن “أي توقف في الخدمة قد يؤدي إلى تدهور أدوات الكشف عن الثغرات وقواعد بيانات الإنذار المبكر، مما يضر بالقطاعين العام والخاص.”
أما تيم بيك، الباحث في Securonix، فأكد أن “انقطاع البرنامج قد يعطل قدرة المؤسسات على نشر الثغرات أو الاستجابة لها، ما يتسبب في تأخير كبير في الإفصاحات الأمنية.”
كما أشار إلى أهمية مشروع CWE في تصنيف نقاط الضعف البرمجية وتحديد أولويات المعالجة، مؤكدًا أن CVE ليس مجرد قائمة مرجعية، بل هو “بنية تحتية أساسية لتنسيق الثغرات والتعامل معها عالميًا.”
تحديث عاجل: تمديد تمويل برنامج CVE مؤقتًا
في تطور إيجابي، أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) عن تمديد عقد التمويل لضمان استمرار خدمات برنامج CVE دون انقطاع.
وقالت الوكالة:
“يُعد برنامج CVE أداة لا غنى عنها للمجتمع السيبراني، وقد قمنا بتفعيل فترة التمديد في العقد لضمان استمرارية الخدمات. نُقدّر صبر شركائنا وأصحاب المصلحة.”
إطلاق مؤسسة CVE لضمان الاستقلال والاستدامة
أعلن عدد من أعضاء مجلس إدارة CVE عن تأسيس مؤسسة CVE Foundation، وهي منظمة غير ربحية تهدف إلى دعم استقلالية البرنامج على المدى الطويل.
وأكدت المؤسسة في بيانها:
“يمثل تأسيس المؤسسة خطوة استراتيجية للتخلص من نقطة الفشل المركزية، وضمان بقاء برنامج CVE مبادرة عالمية موثوقة يقودها المجتمع.”
قاعدة بيانات أوروبية بديلة
تزامنًا مع هذه التطورات، أطلقت الوكالة الأوروبية للأمن السيبراني (ENISA) قاعدة بيانات أوروبية للثغرات (EUVD)، تهدف إلى جمع وتحليل المعلومات من مصادر متعددة باستخدام نهج تشاركي متعدد الأطراف، ما يعزز السيادة الأوروبية في مجال إدارة الثغرات.
