أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) عن التوصل إلى اتفاق رسمي لتمديد تمويل برنامج الثغرات الأمنية الشائعة (CVE) لمدة 11 شهرًا، في خطوة أعادت الاستقرار لمجتمع الأمن السيبراني بعد حالة من القلق الدولي حول مصير البرنامج.
وذكرت CISA في بيان رسمي أن البرنامج يُعد “أولوية قصوى” وأنه تم تفعيل خيار التمديد في العقد مساء الثلاثاء لضمان عدم حدوث أي انقطاع في خدمات البرنامج، مؤكدة أن MITRE ستواصل تشغيل وتطوير منظومة CVE كمصدر عالمي موثوق.
خلفية الأزمة: تحذيرات من توقف البرنامج وتهديدات واسعة النطاق
جاء هذا التمديد بعد أقل من 24 ساعة على تحذير رسمي من منظمة MITRE، التي أعلنت أن تمويل برنامج CVE سينتهي في 16 أبريل 2025، ما كان يعني عمليًا توقف العمل في آلية تصنيف الثغرات الأمنية عالميًا، وتأجيل تنسيق جهود معالجتها.
ردود الفعل كانت سريعة ومكثفة من قبل خبراء الأمن السيبراني، الذين حذروا من آثار جسيمة، أبرزها:
- تعطيل جداول الكشف المنسق للثغرات
- إطالة نافذة استغلال الثغرات من قبل المهاجمين
- فقدان آلية موحدة لتقييم الأولوية في التصحيح والمعالجة
وصف أحد الخبراء القرار بأنه “انتصار مباشر للمهاجمين”، في حين شبّه آخرون الوضع بـ”فقدان البوصلة” لمجتمع يعتمد على بيانات CVE بشكل يومي في منتجاته وخططه الأمنية.
أهمية CVE كمصدر موحد ومفتوح
برنامج CVE لا يقتصر على تصنيف الثغرات، بل يشكّل حجر الزاوية في التنسيق العالمي بين:
- الفرق الأمنية
- مطوري البرمجيات
- مزودي الخدمات والحلول
- الجهات الحكومية
ويمتد أثره إلى قطاعات البنية التحتية الحيوية، وسلاسل التوريد، ومراكز الاستجابة للحوادث.
خطوة مهمة… لكن مؤقتة
رغم أن الاتفاق الحالي يضمن استمرارية البرنامج لمدة 11 شهرًا، إلا أن مستقبل البرنامج على المدى الطويل لا يزال غير مؤكد، في ظل غياب إعلان واضح عن آلية تمويل مستدامة، أو جهة بديلة قادرة على مواصلة إدارة البرنامج بنفس الحياد والاستقلالية.
