أعلن المعهد الوطني للمعايير والتكنولوجيا عن تغييرات استراتيجية ومهمة في كيفية معالجة الثغرات الأمنية (CVEs)، وذلك بعد تسجيل زيادة هائلة في أعداد البلاغات بنسبة وصلت إلى 263%. وتأتي هذه التعديلات كاستجابة مباشرة للتحديات التقنية المتزايدة.
لماذا تم تقييد تحليل الثغرات الأمنية (CVE)؟
قرر المعهد إدراج الثغرات التي تستوفي شروطاً صارمة ومحددة فقط ضمن عمليات التحليل والإثراء الآلية في قاعدة البيانات الوطنية للثغرات (NVD). وسيتم الاكتفاء بإدراج باقي البلاغات في القوائم العامة دون تقديم أي تفاصيل إضافية أو تقييمات معمقة.
وأشار الخبراء إلى أن الثغرات التي لن تلبي المعايير الجديدة والمحدثة ستُصنف رسمياً تحت خانة "غير مجدولة". ويهدف هذا الإجراء الإداري الجديد إلى تركيز الجهود والوقت بشكل مكثف على الثغرات الأمنية التي تمتلك إمكانية إحداث تأثير واسع النطاق وخطير على الأنظمة التقنية والشبكات حول العالم.
ما هي أسباب هذه التغييرات في قاعدة البيانات الوطنية؟
وفقاً لمتابعة موقع تيكبامين، فإن السبب الرئيسي والمباشر وراء هذه الخطوة التنظيمية هو الانفجار غير المسبوق في أعداد البلاغات التقنية المقدمة من مختلف الجهات. ولا يتوقع كبار خبراء الأمن السيبراني أن يتراجع هذا الاتجاه التصاعدي في المستقبل القريب.
وقد كشفت الإحصائيات والأرقام الرسمية الصادرة مؤخراً عن عدة مؤشرات مقلقة وخطيرة دفعت المؤسسات لاتخاذ هذا القرار، وتتضمن هذه المؤشرات:
- تسجيل زيادة ضخمة بنسبة 263% في حجم بلاغات الثغرات الأمنية خلال الفترة الزمنية بين عامي 2020 و2025.
- ارتفاع ملحوظ في أعداد البلاغات خلال الربع الأول من عام 2026 بنسبة تقارب الثلث مقارنة بنفس الفترة الزمنية من العام الماضي.
- إنجاز تحليل وإثراء شامل لحوالي 42,000 ثغرة خلال عام 2025، وهي زيادة استثنائية قدرها 45% مقارنة بأي عام سابق في تاريخ المعهد.
كيف سيتم التعامل مع الثغرات الأمنية غير المجدولة مستقبلاً؟
أكدت التقارير أنه على الرغم من أن الثغرات التقنية المستبعدة قد تسبب أضراراً كبيرة للأنظمة المتأثرة بها، إلا أنها لا تمثل عادة نفس مستوى الخطر الشامل والهيكلي كالتي يتم منحها الأولوية القصوى في التحليل الفوري.
ومع ذلك، يوفر النظام الجديد خياراً عملياً للمستخدمين لطلب تحليل وتقييم الثغرات غير المجدولة ذات التأثير العالي والمباشر على أعمالهم. يتم ذلك من خلال التواصل الرسمي عبر البريد الإلكتروني المخصص، حيث ستتم مراجعة هذه الطلبات الخاصة وجدولتها حسب الحاجة والأهمية الفنية.
تأثير القرار على المؤسسات وخبراء الأمن السيبراني
أوضحت كيتلين كوندون، وهي خبيرة بارزة في الأبحاث الأمنية، أن إعلان التغييرات الأخيرة لم يكن مفاجئاً تماماً للأوساط التقنية. فقد تم التلميح سابقاً وبشكل متكرر للتوجه التدريجي نحو تبني نموذج لتحديد الأولويات يعتمد بشكل كامل على حجم المخاطر وتقييمها.
كما يضع هذا الإعلان الاستراتيجي توقعات واضحة ودقيقة للمجتمع الأمني بأكمله. ولكنه في المقابل يترك شريحة كبيرة ومهمة من الثغرات الأمنية دون مسار واضح ومحدد للتحليل الدقيق، خاصة بالنسبة للشركات والمؤسسات التي تعتمد حصرياً على قواعد البيانات الرسمية كمرجع رئيسي ووحيد لها.
وتُظهر البيانات والأبحاث الأخيرة لشركات الأمن الرقمي المستقلة التحديات الحالية بشكل واضح وجلي، والتي تتلخص في النقاط والإحصائيات التالية:
- وجود ما يقارب 10,000 ثغرة تقنية مكتشفة من عام 2025 لا تزال حتى اليوم بدون درجة تقييم واضحة للمخاطر (CVSS).
- تمكن الفريق التقني من تحليل وتصنيف 14,000 ثغرة فقط من إجمالي بلاغات العام الماضي بشكل كامل.
- تغطية التحليل الأمني الموثق تشمل حالياً حوالي 32% فقط من إجمالي مجتمع ثغرات عام 2025.
وفي الختام، يؤكد تقرير منصة تيكبامين الإخبارية أننا لم نعد نعيش في عالم تقني يُمكّن المؤسسات والجهات المسؤولة من الاستمرار في التحليل اليدوي الدقيق والمستمر لكل ثغرة أمنية جديدة تظهر بشكل يومي على الساحة الرقمية العالمية.
