قاعدة بيانات GitHub الأمنية تسجّل رقماً قياسياً في حجم الثغرات لعام 2024

أبرز النقاط

• نُشر أكثر من 40,000 ثغرة CVE في 2024، وهو رقم قياسي يعكس تسارع اكتشاف الثغرات
• ارتفع عدد الجهات المخوّلة بإصدار معرّفات CVE إلى أكثر من 500 جهة حول العالم
• يعتمد أكثر من 10 ملايين مستودع على قاعدة بيانات GitHub الأمنية لتتبع الثغرات

سجّل عام 2024 رقماً قياسياً في حجم الثغرات الأمنية المُفصح عنها عالمياً، إذ تجاوز عدد سجلات CVE المنشورة حاجز 40 ألف ثغرة. هذا التصاعد الحاد لا يعكس فقط نمو البرمجيات، بل يكشف تحولاً جوهرياً في آليات اكتشاف الثغرات والإفصاح عنها، وهو ما يفرض على فرق التطوير إعادة التفكير في استراتيجيات إدارة المخاطر الأمنية.

لماذا ارتفع حجم الثغرات بهذا الشكل الحاد؟

يعود هذا النمو إلى ثلاثة عوامل رئيسية متشابكة. أولاً، أدّت أدوات الفحص الآلي المدعومة بالذكاء الاصطناعي إلى تسريع اكتشاف الثغرات التي كانت تستغرق شهوراً أو سنوات للعثور عليها يدوياً. ثانياً، توسّعت شبكة الجهات المخوّلة بإصدار معرّفات CVE — المعروفة بـ CVE Numbering Authorities — لتضم أكثر من 500 جهة حول العالم، مقارنة بعدد محدود قبل عقد واحد فقط. ثالثاً، فرضت متطلبات الشفافية التنظيمية والتشريعية إلزامية الإفصاح عن الثغرات، خاصة في القطاعات الحيوية.

ما الذي تعنيه هذه الأرقام للمطورين؟

بالنسبة لمديري الهندسة والمطورين، هذه الأرقام ليست مجرد إحصائيات أكاديمية. كل ثغرة جديدة قد تعني تحديثاً طارئاً لمكتبة تعتمد عليها، أو مراجعة أمنية غير متوقعة قبل الإصدار. الحجم الهائل يجعل المتابعة اليدوية مستحيلة عملياً، ويحوّل الأتمتة من رفاهية إلى ضرورة.

قاعدة بيانات GitHub الأمنية — GitHub Advisory Database — تُعدّ من أبرز المصادر المفتوحة التي تواجه هذا التحدي. تتكامل مباشرة مع Dependabot لتنبيه المطورين تلقائياً عند اكتشاف ثغرة في إحدى المكتبات التي يعتمد عليها مشروعهم. ويعتمد عليها حالياً أكثر من 10 ملايين مستودع.

من يقود جهود الشفافية؟

تقود ماديسون فيكوريلي — مديرة أمن في GitHub ورئيسة فريق تنسيق قاعدة البيانات الأمنية — جهود تحسين الشفافية في الإفصاح عن الثغرات. تشغل أيضاً منصب الرئيسة المشاركة لمجموعة عمل الإفصاح عن الثغرات في مؤسسة OpenSSF، وتعمل ضمن مجلس إدارة برنامج CVE العالمي. خلفيتها السابقة في مركز تنسيق CERT بجامعة كارنيجي ميلون تمنحها رؤية شاملة لتحديات المنظومة الأمنية.

هل البنية التحتية الحالية قادرة على الصمود؟

أثار هذا التسارع تساؤلات جدية حول استدامة منظومة CVE الحالية. في مطلع 2024، برزت مخاوف بشأن تمويل MITRE — المنظمة التي تدير برنامج CVE — مما دفع المجتمع الأمني إلى مناقشة بدائل لامركزية وآليات دعم جديدة.

الضغط ليس على البنية التحتية فحسب، بل على الفرق الهندسية أيضاً. تتطلب متابعة 40 ألف ثغرة سنوياً — بمعدل يتجاوز 100 ثغرة يومياً — أدوات ذكية للفرز وتحديد الأولويات، وإلا ستغرق الفرق في بحر من التنبيهات التي تفقد معناها.

• اعتمد على Dependabot أو أدوات مماثلة لأتمتة تتبع الثغرات في التبعيات
• حدّد سياسة واضحة لزمن الاستجابة حسب خطورة الثغرة (CVSS)
• راجع تبعياتك غير المباشرة — الثغرات غالباً تختبئ في المكتبات العميقة
• تابع إعلانات OpenSSF وبرنامج CVE لفهم التغييرات القادمة في المنظومة

ماذا يعني ذلك لعام 2025؟

إذا استمر النمو بمعدله الحالي — 15-20% سنوياً — فقد نشهد ما يقارب 50 ألف ثغرة مُفصح عنها في 2025. هذا يفرض على المؤسسات الاستثمار الجدي في أدوات إدارة الثغرات، وعلى المجتمع الأمني إعادة هندسة البنية التحتية للتعامل مع هذا الحجم.

الأسئلة الشائعة

ما هي قاعدة بيانات GitHub الأمنية؟

هي قاعدة بيانات مفتوحة ومجانية تضم الثغرات الأمنية المعروفة، وتتكامل مع Dependabot لتنبيه المطورين تلقائياً عند اكتشاف ثغرة في تبعيات مشاريعهم.

كم عدد ثغرات CVE المنشورة في 2024؟

تجاوز العدد 40,000 ثغرة، وهو رقم قياسي يعكس تسارع اكتشاف الثغرات وتوسع جهات الإفصاح.

ما هي جهات CNA ولماذا زاد عددها؟

CNA — أي CVE Numbering Authority — هي جهات مخوّلة بإصدار معرّفات CVE للثغرات. ارتفع عددها إلى أكثر من 500 جهة لتوزيع عبء العمل وتسريع الإفصاح.

كيف أحمي مشروعي من هذا الكم الهائل من الثغرات؟

فعّل Dependabot أو أداة مماثلة، حدّد سياسة استجابة حسب خطورة الثغرة، وراجع تبعياتك المباشرة وغير المباشرة دورياً.

هل ستستمر الثغرات في الارتفاع؟

نعم، التوقعات تشير إلى استمرار النمو بمعدل 15-20% سنوياً، مما يعني احتمال تجاوز 50 ألف ثغرة في 2025.