أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA)، بالتعاون مع أربع جهات دولية حليفة هي وكالة الأمن القومي الأميركية (NSA)، ومركز الأمن السيبراني الوطني البريطاني (UK NCSC)، والمركز الوطني للأمن السيبراني الهولندي (NCSC-NL)، ومركز تنسيق فريق الاستجابة للطوارئ الحاسوبية الياباني (JPCERT/CC)، دليلاً إرشادياً يوجه موردي البرمجيات إلى كيفية بناء برامج منسقة للإفصاح عن الثغرات الأمنية (CVD).
وصدر هذا التوجيه المشترك في 16 يوليو 2026، بعد 6 أيام فقط من كشف الوكالة عن إخفاقها في التعامل مع بلاغ لباحث أمني عثر على بيانات حساسة تابعة لها مكشوفة علناً، ما يرجح أن يكون هذا التوقيت مقصوداً لترسيخ الدروس المستخلصة من الحادثة.
وتعود تفاصيل الواقعة إلى 15 مايو 2026، عند اكتشاف ثغرة أدت إلى تسريب مفاتيح الحوسبة السحابية الحكومية AWS GovCloud وبيانات داخلية أخرى في مستودع عام على منصة GitHub. ورغم حساسية الحادثة، أكدت الفحوصات الفنية عدم رصد أي استغلال خارجي لتلك المفاتيح، كما لم تتأثر أي من بيانات المتعاملين أو البيانات الحساسة الخاصة بمهام الوكالة التشغيلية.
ويركز الدليل الإرشادي الجديد على حث المؤسسات على نشر سياسة واضحة للإفصاح عن الثغرات على مواقعها الإلكترونية، مع التأكيد على إتاحة قنوات التبليغ للعموم دون عوائق. ويشدد التوجيه على اعتماد ملف security.txt المستند إلى معيار RFC 9116؛ كونه يوفر تنسيقاً مقروءاً آلياً وبشرياً يسهل على الباحثين العثور على قنوات الاتصال المباشرة بلا عناء. كما يوصي بتوسيع نطاق اختبار الأنظمة إلى أقصى حد ممكن لتغطية المساحات التي يستهدفها المهاجمون عادة ويتجاهلها المصنعون، مع إلزام الموردين بتأكيد استلام البلاغات خلال فترة تتراوح بين يومين إلى ثلاثة أيام عمل كحد أقصى.
وكانت الوكالة قد روت في 9 يوليو 2026، على لسان رئيس قسم المعلومات بالإنابة برستون ويرنتز، ورئيس أمن المعلومات بالإنابة براد ليبي، تفاصيل الحادثة؛ حيث حاول الباحث الأمني غيوم فالدون، من شركة GitGuardian، التواصل مع الوكالة 9 مرات عبر البريد الإلكتروني لإبلاغها بوجود المفاتيح المسربة والبيانات الداخلية على المستودع العام، دون تلقي أي استجابة. واضطر الباحث في نهاية المطاف إلى الاستعانة بصحفي استقصائي لإيصال التنبيه إلى الجهة المعنية.
وأقرت الوكالة بأن غياب قنوات استقبال واضحة ومحددة دفع الباحث إلى سلوك مسارات بديلة، من بينها منصة إفصاح مخصصة للمجتمع السيبراني العام وليست موجهة للوكالة ذاتها.
ويكرس هذا التوجيه أحد أهم الدروس العملية التي واجهتها الوكالة، وهو ضرورة الفصل التام بين آليات استقبال بلاغات الثغرات وقنوات دعم العملاء التقليدية؛ نظراً لأن الاعتماد على القنوات القائمة قد يؤدي إلى إهمال البلاغات، أو التقليل من خطورتها، أو حتى كشفها عرضاً عن غير قصد.
وإلى جانب تلك الدروس، تضمن الدليل توصيات إضافية تشمل صياغة بنود الملاذ الآمن لضمان طمأنة الباحثين بأن أعمالهم المنجزة بحسن نية مرخصة بموجب قوانين مكافحة الاختراق، وتجنب فرض اتفاقيات عدم الإفصاح الشاملة أو اللجوء إلى الإصلاحات الصامتة دون إعلان. كما دعا التوجيه إلى إصدار معرفات الثغرات الأمنية المشتركة (CVE) للثغرات المكتشفة داخلياً، ونشر الاستشارات الأمنية بالاعتماد على إطار عمل الاستشارات الأمنية المشتركة (CSAF) مجاناً دون حجبها خلف جدران الدفع المالي.
ويستمد التوجيه قوته التنظيمية من أطر قانونية ملزمة؛ حيث يُلزم التوجيه الرئاسي الأميركي BOD 20-01 الوكالات الفيدرالية المدنية بنشر سياسات إفصاح واضحة، في حين يفرض قانون الصمود السيبراني الأوروبي الجديد (Cyber Resilience Act) التزامات مشابهة على الموردين العاملين في دول الاتحاد الأوروبي. وقد أشاد الباحث غيوم فالدون بشفافية الوكالة، مشيراً إلى أن معظم المؤسسات تعمد إلى التستر على مثل هذه الحوادث، بينما اختارت CISA توثيق التجربة ومشاركة الدروس المستفادة علناً لمساعدة القطاع، وهو ما يعد سابقة لوكالة سيبرانية وطنية تدعو علناً إلى فحص الأسرار الرقمية وتبسيط العلاقة مع الباحثين.
وتزداد أهمية هذه البرامج حالياً مع تسارع استخدام الذكاء الاصطناعي في الكشف عن الثغرات، ما يضاعف حجم البلاغات الواردة لفرق الأمن ويتطلب برامج إفصاح منسقة وفعالة لإدارة المخاطر. ومن جهتها، تعهدت الوكالة بتحسين آليات فحص المستودعات العامة والكشف عن نقاط النهاية، وتطوير خطط استجابة استباقية جاهزة للتعامل مع أي حوادث تسريب مستقبلية مشابهة، بعد أن اضطرت لتصميم خطة الاستجابة لحادثة GitHub أثناء مواجهتها للحدث نفسه.







