كشف تقرير حديث أن 75% من المؤسسات تعمد، أحياناً أو غالباً، إلى إطلاق برمجيات تحتوي على ثغرات أمنية معلومة مسبقاً. ويعكس هذا التوجه اتساع الفجوة بين وتيرة تطوير البرمجيات المتسارعة ومتطلبات الحماية الأمنية، لا سيما مع تنامي الاعتماد على أدوات الذكاء الاصطناعي في كتابة الشيفرات البرمجية.
ويوضح التقرير، الصادر عن شركة Checkmarx، أن هذا السلوك تجاوز كونه مجرد حالات استثنائية في بيئات تطوير معينة، ليتحول إلى نمط تشغيلي دائم لدى العديد من المؤسسات، مدفوعاً بضغط مواعيد التسليم ومتطلبات الأعمال الحيوية. وتكمن خطورة هذا التوجه في عدم ملاءمة نماذج تقييم المخاطر التقليدية للواقع الحالي؛ إذ كانت تلك النماذج تفترض سابقاً وجود هامش زمني كافٍ لمعالجة الثغرات وإصلاحها بعد مرحلة الإطلاق.
ووفقاً للبيانات الرقمية التي رصدها التقرير، كان متوسط الوقت المستغرق لاستغلال أي ثغرة برمجية يصل إلى 840 يوماً في عام 2018. غير أن هذه النافذة الزمنية تقلصت في الوقت الراهن لتصل إلى أقل من يومين في بعض الحالات، وسط توقعات بأن تنخفض إلى دقيقة واحدة فقط خلال العامين المقبلين، مدفوعة بالتطور المتسارع لأدوات الهجوم السيبراني المدعومة بالذكاء الاصطناعي. هذا التحول الجذري يجعل من قرار نشر برمجيات ذات ثغرات معروفة خياراً باهظ التكلفة على الصعيدين الأمني والتشغيلي.
وتتضاعف هذه المخاوف مع انتشار منهجية تطوير التطبيقات عبر التفاعل المباشر والمحادثة مع أدوات الذكاء الاصطناعي؛ إذ أفادت تقارير موازية بأن آلاف التطبيقات المطورة بهذه الطريقة تعاني ضعفاً في آليات المصادقة، أو تسببت في تسريب بيانات حساسة على شبكة الإنترنت المفتوحة. وتشمل هذه الاختراقات بيانات طبية ومالية، وسجلات عملاء، ومراسلات داخلية، مما يرفع معدلات التعرض للمخاطر في قطاعات حيوية تخضع لرقابة صارمة مثل الرعاية الصحية والخدمات المالية.
كما يسلط التقرير الضوء على الضغوط المباشرة التي يواجهها مسؤولو أمن المعلومات ومديرو أمن التطبيقات. إذ يجد هؤلاء المسؤولون أنفسهم في مواجهة معادلة معقدة توازن بين متطلبات الإطلاق السريع من جهة، وضرورة تدقيق الثغرات ومعالجتها قبل وصول البرمجيات إلى بيئات الإنتاج الفعلي من جهة أخرى. وبناء على المعطيات الحالية، يصبح أمن التطبيقات ركيزة أساسية من ركائز حوكمة عملية التطوير برمتها، وليس مجرد مرحلة فحص نهائية تسبق النشر.
وفي سياق متصل، تدعم تقارير حديثة أخرى هذا الاتجاه؛ حيث أظهرت مؤشرات جودة البرمجيات أن الكثير من المؤسسات تواصل طرح برمجيات لم تخضع لاختبارات فحص كاملة، نتيجة للضغوط الإدارية التي تفضل سرعة الطرح في السوق على حساب الجودة الأمنية. وهذا يبرهن على أن المشكلة ترتبط بشكل وثيق بآلية إدارة دورة حياة البرمجيات ككل، خاصة في ظل توليد كميات ضخمة من الشيفرات البرمجية عبر تقنيات الذكاء الاصطناعي.
