أصدر مكتب الإدارة والموازنة في البيت الأبيض مذكرة جديدة تحمل الرقم M-26-05 بتاريخ الجمعة 23 يناير 2026. وتأتي هذه الخطوة لتقضي رسمياً على مذكرتين أساسيتين صدرتا في عهد الرئيس السابق جو بايدن؛ وهما المذكرة (M-22-18) الصادرة في سبتمبر 2022، والمذكرة (M-23-16) الصادرة في يونيو 2023.
نهج مرن وتقييم فردي
تتجه السياسة الجديدة نحو التراجع عن إلزام الوكالات الفيدرالية بنموذج موحد لالتعهد الذاتي، وهو مستند رسمي يوقعه موردو البرمجيات لإثبات التزامهم بممارسات التطوير الآمن. وكان هذا التعهد يستند إلى إطار العمل (NIST SP 800-218) المعروف بإطار تطوير البرمجيات الآمنة (SSDF)، والذي يمثل مجموعة من القواعد الفنية لضمان بناء البرامج بطريقة محمية من الاختراقات.
وبدلاً من هذا الإجراء الموحد، تتبنى إدارة ترمب حالياً بدائل وصفتها بالمرنة، تمنح كل وكالة حكومية استقلالية كاملة في إجراء تقييمات المخاطر الخاصة بها بناء على طبيعة مهامها الحساسة.
المسؤولية المباشرة والخيارات المتاحة
بموجب المذكرة الجديدة، بات رئيس كل وكالة فيدرالية يتحمل المسؤولية النهائية عن أمن البرمجيات والأجهزة التي تعمل ضمن شبكته. وعلى الرغم من إلزامية التحقق من أمن الموردين، فإن المذكرة أبقت الباب موارباً أمام الاستفادة الاختيارية من أدوات حقبة بايدن؛ إذ يمكن للوكالات الاستمرار في استخدام نموذج التعهد الذاتي الموحد (Secure Software Development Attestation Form) كمرجع عند الحاجة فقط.
كما تضمنت المذكرة إمكانية إدراج بنود تعاقدية تلزم المورد بتقديم قائمة مكونات البرمجيات (SBOM) عند الطلب، وهي سجل مفصل يوضح كافة المكتبات والبرامج الفرعية التي يتكون منها المنتج التقني، ما يرفع من مستوى الشفافية ويسرع عملية تحديد الثغرات الأمنية فور ظهورها.
انقسام في مجتمع الأمن السيبراني
أثارت هذه التغييرات جدلاً واسعاً في الأوساط التقنية الأمريكية. ففي حين يرى تيار منتقد أن سحب الإلزام الموحد يضعف شفافية السوق ويعيد التباين في مستويات الحماية، وصفت المذكرة الجديدة (M-26-05) الإجراءات السابقة بأنها عمليات محاسبية مرهقة وغير مثبتة الفعالية، فضلت الامتثال الإداري على الاستثمار الأمني الحقيقي.
ونقلت تقارير تقنية عن خبراء، مثل جيف ويليامز من شركة Contrast Security، مخاوف من أن هذا القرار يمثل تراجعاً يعيد النقاشات الأمنية إلى نقطة البداية. وفي المقابل، رحب خبراء آخرون، مثل ميتش هيركيس من شركة Wiz، بالنهج الجديد، معتبرين أن طلب قائمة المكونات (SBOM) عند الحاجة فقط يتماشى مع الواقع التشغيلي المتسارع للبرمجيات الحديثة.
مفارقات القرار الجديد
من اللافت أن المذكرة الجديدة لم تلغِ المفاهيم التقنية بحد ذاتها، بل غيرت شكل إلزاميتها؛ إذ لا يزال إطار تطوير البرمجيات الآمنة (SSDF) ضمن المصادر المقترحة، كما تمت الإحالة إلى مسودات وكالة الأمن السيبراني (CISA) لعام 2025 بشأن العناصر الدنيا المطلوبة في قوائم البرمجيات. وشددت المذكرة في الوقت نفسه على استمرار إلزام الوكالات بالاحتفاظ بجرد كامل لجميع الأجهزة والبرمجيات المستخدمة لديها، مع بناء عمليات ضمان تتناسب مع تقديرات المخاطر لكل مهمة على حدة.
