أكدت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) دعمها لبرنامج الثغرات ومواطن التعرض الشائعة (CVE)، عبر إصدار وثيقة استراتيجية جديدة بعنوان CVE Quality for a Cyber Secure Future في 10 سبتمبر الجاري. وتضمنت الوثيقة ما وصفته الوكالة “مرحلة الجودة” التي ستعقب سنوات من التوسع الكمي في عدد الهيئات المصرح لها بإدارة أرقام الثغرات CVEs. الوثيقة جاءت بعد ستة أشهر من ورود تقارير حول قرار بتمديد عقد MITRE لمدة 11 شهراً إضافياً، في أبريل 2025، لضمان التمويل حتى مارس 2026.
CISA شددت على أن البرنامج يجب أن يبقى مفتوحاً وحيادياً بعيداً عن أي خصخصة قد تفقده قيمته كمنفعة عامة، لكنها أقرت في الوقت نفسه بالحاجة إلى دور قيادي أكثر نشاطاً واستثمارات إضافية. وأشارت إلى أنها تدرس آليات تمويل بديلة لضمان استدامة البرنامج، بعد أن تلقت طلبات من مجتمع الأمن السيبراني بهذا الخصوص.
الوثيقة أثارت ملاحظات بعض الباحثين مثل باتريك غاريتي من شركة VulnCheck الذي أشار إلى غياب ذكر MITRE، متسائلاً إن كان ذلك إشارة إلى نية CISA لتولي دور الأمانة العامة للبرنامج بشكل مباشر.
مشاركة أوسع وشفافية أكبر لتعزيز موثوقية النظام العالمي للثغرات
الوثيقة أوضحت أن المرحلة المقبلة ستعتمد على إشراك أطراف متعددة من قطاعات مختلفة، بحيث يعكس المجلس الاستشاري للبرنامج صورة شاملة للنظام البيئي. وأكدت CISA أنها ستوظف شراكاتها لضمان تمثيل أفضل من منظمات دولية وحكومات وأوساط أكاديمية ومزودي أدوات تحليل الثغرات ومستهلكي البيانات والباحثين الأمنيين وصناعة التكنولوجيا التشغيلية والمجتمع المفتوح المصدر.
وذكرت الوكالة برنامج Vulnrichment الذي أطلق في مايو 2024 كأحد النماذج، بعد أن لعب دوراً أساسياً في سد فجوات قاعدة بيانات الثغرات الوطنية NVD التي تعاني منذ أكثر من عام ونصف من نقص في التمويل والموظفين. كما افتتحت CISA في يوليو 2025 منتديات ومجموعات عمل جديدة للمستهلكين والباحثين في CVE بهدف توسيع قاعدة المساهمين.
خارطة طريق لتحديث البرنامج وتحويله من مرحلة النمو إلى الجودة
الوثيقة الاستراتيجية رسمت أيضاً ملامح خطة تحديث للبرنامج تشمل دور هيئات التوزيع CNAs وهيئات الملاذ الأخير LR والناشرين المصرح لهم ADPs الذين يضيفون بيانات إثرائية لسجلات الثغرات. ومن أبرز الأولويات: تسريع الأتمتة، تحسين خدمات CNAs، دعم واجهات API لمستهلكي البيانات، رفع جودة البيانات عبر معايير جديدة، تعزيز الشفافية، إشراك المجتمع الدولي في القرار، والتواصل المنتظم حول الإنجازات.
CISA أوضحت أن مرحلة النمو السابقة اتسمت بالتوسع الكبير في عدد الهيئات المصرح لها، حيث تجاوزت 460 CNA أسهمت في تضاعف القدرة العالمية على رصد وتوثيق مئات آلاف الثغرات. أما المرحلة الجديدة فتسعى إلى بناء الثقة وتعزيز الاستجابة ورفع جودة البيانات.
ليندسي سيركوفنيك، المسؤولة السابقة عن تنسيق الاستجابة للثغرات في CISA، كانت قد تحدثت بالمفهوم ذاته خلال قمة Infosecurity في خريف 2024، مؤكدة أن البرنامج بات يركز الآن على جودة البيانات أكثر من التوسع الكمي. كذلك شدد كريستوفر بوتيرا، المدير التنفيذي المساعد في CISA، خلال مؤتمر Black Hat USA في أغسطس 2025 على ضرورة دمج الأتمتة في النظام لتسريع المعالجة والانتقال من «مرحلة النمو» إلى «مرحلة الجودة».
