يكشف تقرير State of DevSecOps 2026، الصادر عن مؤسسة Datadog، عن مشهد تشغيلي معقد يحيط بمخاطر الثغرات البرمجية في بيئات الإنتاج الفعلية. وتظهر البيانات المستخلصة من تحليل قياسات تشغيلية لآلاف التطبيقات حول العالم أن 87% من المؤسسات تشغل برمجيات تحتوي على ثغرة واحدة على الأقل معروفة وقابلة للاستغلال. ويمتد هذا التعرض ليشمل نحو 40% من إجمالي الخدمات المنشورة قيد التشغيل، وهو ما يبرز فجوة متنامية في إدارة المخاطر تزامنت مع تسارع دورات تطوير البرمجيات وتعقد سلاسل التوريد البرمجية.
وتتفاوت نسب وجود هذه الثغرات بحسب لغات البرمجة، إذ تصدرت خدمات Java القائمة بنسبة 59%، وتبعتها تقنية .NET بنسبة 47%، ثم لغة Rust بنسبة 40%. ويرتبط وجود ثغرات معروفة ومستغلة فعلياً بارتفاع احتمالات تعرض الخدمات للاختراق، وهو ما يضع إدارة الثغرات في مقدمة أولويات تقليل المخاطر التشغيلية.
ويبرز الاعتماد على إصدارات منتهية الدعم للغات البرمجة أو بيئات التشغيل كعامل جوهري في زيادة مستوى التعرض للمخاطر، حيث تعتمد 10% من الخدمات عالمياً على هذه الإصدارات التي لم تعد تتلقى تحديثات أمنية. وتكشف النتائج أن استخدام المؤسسة لإصدار منتهي الدعم يرفع نسبة الخدمات المعرضة لثغرات قابلة للاستغلال في تلك اللغة إلى 50%، مقارنة بنسبة 37% في حال استخدام إصدارات مدعومة.
وإلى جانب ذلك، يعاني الجانب التشغيلي من تقادم مكتبات الطرف الثالث، حيث بلغ متوسط تأخر التبعية البرمجية عن أحدث إصدار رئيسي نحو 278 يوماً، بزيادة ملحوظة عن العام السابق الذي سجل 215 يوماً. ويظهر هذا التأخر بوضوح في بيئة Java بمتوسط 492 يوماً وبيئة Ruby بمتوسط 357 يوماً، ما يعكس تحديات مستمرة في استدامة الأمن البرمجي.
تأثير وتيرة النشر ومخاطر سلاسل التوريد السريعة
ترتبط وتيرة نشر التحديثات مباشرة بالوضع الأمني للخدمات، إذ تزداد نسبة تقادم التبعيات في الخدمات التي تنشر أقل من مرة شهرياً بنسبة 70% مقارنة بتلك التي تنشر يومياً، مع تسجيل فوارق زمنية تصل إلى 295 يوماً مقابل 172 يوماً. وتشير البيانات إلى أن 42% من الخدمات تعتمد على مكتبات لم تعد تدار أو تصان بنشاط، وهو وضع يؤدي إلى تراكم الثغرات وتراجع سرعة الاستجابة للإصلاحات.
وفي المقابل، يظهر اتجاه معاكس يتمثل في الاندفاع نحو التحديث الفوري، حيث تتبنى 50% من المؤسسات إصدارات المكتبات الجديدة خلال 24 ساعة من صدورها. ويحمل هذا السلوك مخاطر إدخال حزم خبيثة أو مخترقة إلى البيئة التشغيلية قبل توفر الوقت الكافي للمجتمع التقني لرصد السلوك المشبوه.
وتتضح هذه الظاهرة في استخدام 32% من المؤسسات لصور Docker عامة و12% لصور AMIs عامة خلال يوم واحد من إنشائها، بينما سجلت منظومة npm استخدام 1.6% من المؤسسات لتبعية خبيثة واحدة على الأقل خلال العام الماضي.
وتمثل خطوط البناء والنشر (CI/CD) نقطة ضعف شائعة، وخاصة عند استخدام GitHub Actions، حيث تعتمد جميع المؤسسات المستخدمة لهذه الأداة على إجراء واحد على الأقل من المتجر العام (GitHub Marketplace). وتغيب ممارسات الأمان الصارمة عن هذا الجانب، إذ لا تقوم سوى 4% من المؤسسات بتثبيت الإجراءات العامة إلى معرف التزام كامل، بينما تمتنع 71% من المؤسسات عن تثبيت أي من إجراءاتها، وهو ما يفتح الباب أمام تغيرات غير مراقبة في الكود المصدري.
كما تبرز فجوة في الوعي الأمني مع استخدام 80% من المؤسسات لإجراءات غير مدارة من قبل GitHub وغير مثبتة إلى وسم تشفير، ما يضاعف من احتمالات التلاعب بسلسلة التوريد البرمجية مقابل خفض التكاليف التشغيلية أو تسريع العمل.
إدارة التنبيهات وسياق التشغيل الفعلي
يتناول التقرير ظاهرة إرهاق التنبيهات من منظور عملي يعتمد على السياق التشغيلي. فعلى الرغم من تصنيف العديد من الثغرات بأنها “حرجة” وفق نظام تقييم الثغرات العام (CVSS)، إلا أن 18% فقط من ثغرات التبعيات المصنفة حرجة تظل كذلك عند فحصها ضمن سياق التشغيل الفعلي وتوفر احتمالات الاستغلال الحقيقية.
ويؤدي احتساب هذا السياق إلى تقليص عبء التنبيهات الزائفة بنسبة تتجاوز 80%، وهو ما يتيح للفرق التقنية توجيه جهودها نحو المخاطر ذات الأثر الفعلي. وتظهر الاختلافات بين البيئات البرمجية بوضوح هنا، حيث تنخفض شدة 98% من ثغرات .NET المصنفة حرجة بعد احتساب السياق، في حين تحتفظ 49% من ثغرات PHP بتصنيفها الحرج بعد التعديل، ما يعكس تباين الأنظمة البيئية في توفر أدوات الاستغلال.
وقد استندت منهجية Datadog في هذا التقرير إلى تحليل ثغرات التبعيات في تطبيقات تعمل بلغات متعددة تشمل Java و.NET وPHP وPython وRuby وJavaScript وGo، وذلك عبر ميزة تحليل مكونات البرمجيات. وتم الاعتماد في تحديد الثغرات القابلة للاستغلال على قواعد بيانات موثوقة مثل كتالوجات NIST وCISA KEV وExploitDB وGitHub Advisories، مع استخراج كافة البيانات وتحليلها في يناير 2026 لضمان دقة النتائج وتوافقها مع المتغيرات التقنية الحديثة.
