ما هو CVE (الثغرات والتعرضات الشائعة)؟
CVE تعني الثغرات والتعرضات الشائعة. وهو نظام يتتبع الثغرات الأمنية في الأمن السيبراني التي أصبحت معروفة بالفعل للجمهور.
كل سجل CVE لديه معرف خاص به، مثل CVE-2024-492881، ويشرح ضعفًا محددًا في البرامج أو الأجهزة أو البرامج الثابتة التي يمكن للمهاجمين استخدامها لاستغلال النظام.
تم إطلاق برنامج CVE من قبل مؤسسة MITRE، وهي مؤسسة غير ربحية ممولة اتحاديًا في الولايات المتحدة تركز على الأمن السيبراني والتكنولوجيا. اليوم، تواصل MITRE إدارة نظام CVE تحت إشراف مجلس CVE - مجموعة تضم خبراء أمنيين وبائعين وأصحاب مصلحة عالميين. تستخدم المنظمات والبائعون وأدوات الأمن والباحثون في جميع أنحاء العالم CVE لتتبع الثغرات وإدارة التصحيحات.
لماذا يعتبر CVE مهمًا في الأمن السيبراني
قبل CVE، كان الباحثون والمنظمات يعتمدون على أنظمة تسمية منفصلة، مما جعل من الصعب تتبع الثغرات عبر الأدوات والتقارير المختلفة.
يساعد CVE في حل هذه المشكلة من خلال تقديم:
- معرفات متسقة لكل ثغرة
- رؤية مركزية في قاعدة البيانات الأمنية العالمية
- تعاون أسهل بين البائعين والباحثين والمنظمات المشاركة في الأمن السيبراني.
يشكل CVE الأساس لأدوات الأمان مثل ماسحات الثغرات، SCA، ASPM، وأنظمة إدارة التصحيحات التي تعتمد على معرفات CVE لاكتشاف وتحديد أولويات المخاطر.
كيف يعمل CVE؟
يتضمن كل سجل CVE في قاعدة بيانات الثغرات:
- معرف CVE - معرف فريد للثغرة
- وصف - شرح للثغرة
- مراجع - مصادر خارجية موثوقة تقدم معلومات مفصلة عن الثغرة
- درجة CVSS - تصنيف الخطورة، وهو تصنيف يخبرك بمدى خطورة أو تأثير الثغرة إذا تم استغلالها.
يتم تخزين جميع CVEs علنًا في cve.org، كما يتم عكسها في قاعدة البيانات الوطنية للثغرات (NVD) التي تديرها NIST (المعهد الوطني للمعايير والتكنولوجيا)، وهي وكالة غير تنظيمية تابعة لوزارة التجارة الأمريكية.
الثغرات المعروفة مقابل الثغرات غير المعروفة
الثغرات المعروفة
الثغرات التي تكون المنظمات الأمنية والباحثون على علم بها ويمكنهم توفير تصحيحات لمعالجة هذه الثغرات.
غالبًا ما تكون الثغرات المعروفة منشورة بالفعل في قواعد بيانات مثل CVE أو NVD.
مثال:
CVE-2017-5638 — ثغرة Apache Struts التي استُغلت في اختراق Equifax (2017).
الثغرات غير المعروفة (Zero-Day)
هذه هي العيوب غير المكتشفة أو غير المعلنة؛ فهي موجودة في البرمجيات ولكن لم يتم توثيقها بعد في قواعد بيانات CVE.
يمكن للمهاجمين استغلالها قبل أن يصدر البائع تصحيحًا. هذه العيوب خطيرة جدًا.
مثال:
ثغرة في المتصفح تُستخدم من قبل المهاجمين قبل أن تصدر Google أو Microsoft إصلاحًا.
المصطلحات ذات الصلة
- NVD (قاعدة البيانات الوطنية للثغرات)
- CVSS (نظام تسجيل الثغرات الشائع)
- ثغرة Zero-Day
- استغلال
- إدارة التصحيحات
- إدارة الثغرات
- التعداد الشائع للضعف (CWE)
الأسئلة الشائعة: CVE
ما هو معرف CVE؟
معرف CVE هو معرف فريد يُخصص لثغرة تم الكشف عنها علنًا (مثل CVE-2025-01234).
من الذي يدير نظام CVE؟
يتم إدارة برنامج CVE من قبل شركة MITRE، تحت إشراف مجلس CVE وبتمويل من وكالات حكومية أمريكية مثل وزارة الأمن الداخلي (DHS) وCISA.
هل يتم إدراج جميع الثغرات في CVE؟
لا. فقط الثغرات المعروفة علنًا تحصل على معرفات CVE. الثغرات غير المعروفة أو ثغرات اليوم الصفري لم تُسجل بعد.
كيف يرتبط CVE وCVSS؟
يقوم CVE بتحديد الثغرة؛ بينما يقوم CVSS (نظام تسجيل الثغرات الشائع) بقياس خطورتها.