مع بداية عام 2026 أظهرت بيانات حديثة أن عدد الثغرات الأمنية المصنفة كـ حرجة (Critical CVEs) في عام 2025 بلغ 3,753 ثغرة، مقارنة بـ 4,629 ثغرة في عام 2023 و4,283 ثغرة في عام 2024. هذا الانخفاض يأتي في وقت ارتفع فيه إجمالي عدد الثغرات الأمنية المعلنة إلى أكثر من 40,000 ثغرة، ما يعكس اتساع نطاق الكشف الأمني مع تراجع نسبة الثغرات المصنفة في أعلى مستويات الخطورة.
دور CVSS v4 في التقييم
بحسب شركة VulnCheck، فإن حوالي 25.9% من أصل 43,002 ثغرة منشورة في 2025 تم إثراؤها بتقييم CVSS v4، وهو الإصدار الأحدث من نظام تقييم خطورة الثغرات. إلا أن اعتماد هذا الإصدار لا يزال محدوداً، ليس بسبب نقص توفره، بل نتيجة ضعف المشاركة من بعض أكبر الناشرين والمغذّين لبيانات الثغرات.
أسباب ضعف التبني
تشير التقارير إلى أن الأسباب الأكثر شيوعاً وراء ضعف اعتماد CVSS v4 تشمل:
- قيود الموارد لدى المؤسسات المسؤولة عن النشر.
- الحاجة إلى تغييرات في الأدوات المستخدمة لتقييم الثغرات.
- الاعتقاد بأن الإصدار الجديد لا يقدم قيمة إضافية كبيرة مقارنة بالإصدارات السابقة، بل يزيد من تعقيد عملية التقييم ويفرض عبئاً تشغيلياً إضافياً.
دلالات على مشهد الأمن السيبراني
هذا التراجع في عدد الثغرات الحرجة قد يعكس تحسناً في جودة البرمجيات أو تطوراً في آليات الكشف المبكر، لكنه في الوقت نفسه يسلط الضوء على التحديات المرتبطة بتبني معايير تقييم جديدة مثل CVSS v4. فغياب المشاركة الواسعة من اللاعبين الرئيسيين في مجال نشر الثغرات يحد من قدرة المجتمع الأمني على الاستفادة الكاملة من الإصدار الجديد، ويؤخر توحيد المعايير في تقييم المخاطر.
