حل أزمة CVE: الشهادات المهنية والإبلاغ الإلزامي عن الثغرات الأمنية
2025-04-16
أثار اقتراب انتهاء صلاحية عقد MITRE مع CVE جدلاً واسعاً، مما أدى إلى اقتراح لتحسين أمن البرمجيات. يعاني نظام CVE الحالي من تقارير غير دقيقة، مما يقلل من قيمته. يقترح الكاتب نظاماً يعتمد على سمات الثغرات الأمنية بدلاً من الدرجات، بالإضافة إلى اعتماد شهادة مهندس برمجيات محترف (PSWE). سيؤدي عدم الإبلاغ بدقة عن الثغرات الأمنية خلال فترة زمنية محددة إلى إلغاء الشهادة، مما يشجع على الإبلاغ عن المشاكل. يتضمن الاقتراح تمويل وتدريب PSWEs المستقبليين، ومعالجة مشاكل إمكانية الوصول، مما يخلق في النهاية سيناريو مربحاً للجميع لأمن البرمجيات واستدامة مشاريع FOSS.