حالة مصادر البرمجيات الموثوقة مفتوحة المصدر

كشفت شركة Chainguard، الرائدة في مجال المصادر المفتوحة، عن رؤى جديدة حول كيفية استهلاك المؤسسات الحديثة للبرمجيات مفتوحة المصدر والمخاطر التشغيلية التي تواجهها. وبناءً على تحليل قاعدة عملاء متنامية وكتالوج واسع يضم أكثر من 1800 مشروع لصور الحاويات، و148 ألف إصدار، و290 ألف صورة، و100 ألف مكتبة لغوية، وحوالي نصف مليار عملية بناء، تسلط Chainguard الضوء على اتجاهات الاستخدام والمخاطر الأمنية.

تم إصدار تقرير “حالة المصادر المفتوحة الموثوقة” (The State of Trusted Open Source) لفحص دورة حياة سلسلة توريد البرمجيات مفتوحة المصدر. وقد لاحظ فريق Chainguard، أثناء تحليل بيانات استخدام المنتجات وبيانات الثغرات الأمنية (CVE) المجهولة، وجود أنماط مشتركة تتعلق بما تبني به فرق الهندسة البرمجية وما تواجهه من مخاطر.

تضمنت أبرز النتائج أن الذكاء الاصطناعي يعيد تشكيل البنية الأساسية، حيث تصدرت Python قائمة الصور مفتوحة المصدر الأكثر شعبية، وأن أكثر من نصف الإنتاج يتم خارج المشاريع الأكثر شيوعاً، وأن الشعبية لا ترتبط بالمخاطر، بينما يمكن أن تكون الامتثال التنظيمي محفزاً للإجراءات. وأخيراً، تُبنى الثقة على سرعة معالجة الثغرات.

منهجية التقرير شملت تحليل أكثر من 1800 مشروع فريد لصور الحاويات، و10,100 حالة ثغرة أمنية، و154 ثغرة مدرجة (CVEs) خلال الفترة من 1 سبتمبر 2025 إلى 30 نوفمبر 2025. ويشير مصطلح “أعلى 20 مشروعًا” و”المشاريع الطويلة” (Those outside the top 20) إلى أنماط الاستخدام الفعلية الملحوظة عبر محفظة عملاء Chainguard وفي عمليات السحب في بيئات الإنتاج.

الاستخدام الفعلي للبرمجيات مفتوحة المصدر في الإنتاج

تشكل اللغات الأساسية، ومحركات التشغيل، ومكونات البنية التحتية الجزء الأكبر من القائمة الأكثر استخداماً. ويُظهر هذا أن العملاء يشغلون مجموعة حرجة من اللبنات الأساسية، بما في ذلك اللغات، والبوابات، والخدمات الوسيطة، وأدوات المراقبة، ووحدات التحكم، التي تشكل مجتمعة أساس أعمالهم.

الذكاء الاصطناعي يعيد تشكيل البنية الأساسية

عالمياً، تتصدر Python (71.7% من العملاء) و Node (56.5%) و nginx (40.1%) و Go (33.5%) و Redis (31.4%) القائمة، تليها JDK و JRE، ومجموعة من أدوات المراقبة والمنصات الأساسية مثل Grafana و Prometheus و Istio و cert-manager و argocd و ingress-nginx و kube-state-metrics.

يُعد تصدر Python عالمياً أمرًا متوقعًا، نظرًا لدورها كلغة أساسية في حزمة الذكاء الاصطناعي الحديثة. تستخدم الفرق Python بشكل قياسي لتطوير النماذج، وخطوط أنابيب البيانات، وبشكل متزايد لخدمات الاستدلال في بيئات الإنتاج.

الاختلافات الإقليمية: أسس مشتركة، وتنويع في العناصر الإضافية

تُظهر أمريكا الشمالية مجموعة واسعة وثابتة من لبنات البناء الافتراضية للإنتاج: Python (71.7%)، Node (56.6%)، nginx (39.8%)، Go (31.9%)، Redis (31.5%)، مع اختراق قوي لمكونات نظام Kubernetes البيئي. وتشير ملاحظة أهمية صور المرافق مثل busybox إلى تعدد الاستخدامات.

خارج أمريكا الشمالية، يظهر نفس المكدس الأساسي، لكن تتوزع المحفظة بشكل مختلف: Python (72%)، Node (55.8%)، Go (44.2%)، nginx (41.9%)، مع وجود ملحوظ لأنظمة تشغيل .NET (aspnet-runtime، dotnet-runtime، dotnet-sdk) و PostgreSQL.

“المشاريع الطويلة” تشكل جزءاً حيوياً من الإنتاج

تمثل الصور الأكثر شعبية لدى Chainguard حوالي 1.37% فقط من جميع الصور المتاحة، وتستحوذ على ما يقرب من نصف استدعاءات الحاويات الإجمالية. يأتي النصف الآخر من استخدامات الإنتاج من أماكن أخرى: 1436 صورة “طويلة” تشكل 61.42% من محفظة الحاويات لمتوسط العملاء.

بعبارة أخرى، نصف أحمال العمل الإنتاجية تعمل على هذه الصور “الطويلة”. هذه ليست حالات هامشية، بل هي جزء أساسي من بنية Chainguard التحتية لعملائها. من السهل نسبيًا الحفاظ على تحديث عدد قليل من الصور الرئيسية، ولكن ما يتطلبه المصدر المفتوح الموثوق هو الحفاظ على الأمان والسرعة عبر مجموعة واسعة من ما يقوم العملاء بتشغيله فعليًا.

استخدام FIPS: الامتثال محفز للإجراءات

تُعد تقنية تشفير FIPS أداة أساسية في مشهد الامتثال، وتركز على تلبية متطلبات التشفير الفيدرالية الأمريكية. وهي تقدم نافذة مفيدة حول كيفية دفع الضغط التنظيمي لتبني التقنيات. وتشير البيانات إلى أن 44% من العملاء يشغلون صورة FIPS واحدة على الأقل في بيئات الإنتاج.

يعكس هذا نمطًا متسقًا: عند العمل ضمن أطر الامتثال مثل FedRAMP، و DoD IL-5، و PCI DSS، و SOC 2، و CRA، Essential Eight، أو HIPAA، تحتاج الفرق إلى برمجيات مفتوحة المصدر موثوقة ومعززة تعكس أعباء عملها التجارية. تتماشى صور FIPS الأكثر استخدامًا مع المحفظة الأوسع، ولكن مع وحدات تشفير معززة للتدقيق والتحقق.

تشمل مشاريع صور FIPS الرئيسية Python-fips (62% من العملاء الذين لديهم صورة FIPS واحدة على الأقل في الإنتاج)، و Node-fips (50%)، و nginx-fips (47.2%)، و go-fips (33.8%)، و redis-fips (33.1%)، بالإضافة إلى مكونات النظام مثل istio-pilot-fips، و istio-proxy-fips، ونسخ cert-manager. حتى المكتبات الداعمة والأسس المشفرة تظهر، مثل glibc-openssl-fips.

FIPS ليس القصة الكاملة، ولكنه يوضح حقيقة أوسع: الامتثال هو محرك عالمي، يؤكد على الحاجة إلى مصادر مفتوحة موثوقة عبر كامل المكدس البرمجي.

الثغرات الأمنية (CVEs): الشعبية لا تعكس المخاطر

عند النظر إلى كتالوج صور Chainguard، تتركز المخاطر بشكل كبير خارج الصور الأكثر شيوعًا. من بين الثغرات التي قامت Chainguard بمعالجتها في الأشهر الثلاثة الماضية، وجد 214 ثغرة في أعلى 20 صورة، مما يمثل 2% فقط من إجمالي الثغرات. بالابتعاد عن هذه الصور العليا، تجد الـ 98% الأخرى من الثغرات التي قامت Chainguard بمعالجتها (10785 ثغرة). هذا يعني 50 ضعف عدد الثغرات في أعلى 20 صورة!

يتم تصنيف معظم الثغرات على أنها متوسطة، لكن الإلحاح التشغيلي ينبع غالبًا من سرعة معالجة الثغرات الحرجة والعالية، وما إذا كان يمكن للعملاء الاعتماد على هذه السرعة عبر كامل محفظتهم، وليس فقط الصور الأكثر شيوعًا.

الثقة تبنى على سرعة المعالجة

بالنسبة لـ Chainguard، تُقاس الثقة بمعدل وقت الإصلاح، وتدرك الشركة أن هذا هو أهم جانب عند التعامل مع الثغرات الحرجة. خلال فترة الثلاثة أشهر التي تم تحليلها، حقق فريق Chainguard متوسط وقت معالجة أقل من 20 ساعة للثغرات الحرجة، حيث تم حل 63.5% منها في غضون 24 ساعة، و 97.6% في غضون يومين، و 100% في غضون ثلاثة أيام.

بالإضافة إلى معالجة الثغرات الحرجة، عالج الفريق الثغرات العالية في 2.05 يوم، والمتوسطة في 2.5 يوم، والمنخفضة في 3.05 يوم، وهي أسرع بكثير من اتفاقيات مستوى الخدمة (SLA) لـ Chainguard (سبعة أيام للثغرات الحرجة، و 14 يومًا للثغرات الأخرى).

ولا تقتصر هذه السرعة على الحزم الأكثر شيوعًا. فمقابل كل ثغرة تم إصلاحها في مشروع من المشاريع العشرين الأولى، قامت الشركة بإصلاح 50 ثغرة في الصور الأقل شعبية.

هذه “المشاريع الطويلة” هي المكان الذي تكمن فيه معظم مخاطر التعرض الحقيقية، وقد يبدو من المستحيل مواكبة التحديثات. ببساطة، لا تستطيع معظم المنظمات الهندسية تخصيص موارد لتصحيح الثغرات في الحزم التي تقع خارج مكدسها الأساسي، لكن البيانات توضح أنه يجب تأمين “الغالبية الصامتة” لسلسلة توريد البرمجيات بنفس القدر من الدقة التي تُطبق على أحمال العمل الأكثر أهمية.

أساس جديد للمصادر المفتوحة الموثوقة

عبر البيانات، تبرز نتيجة رئيسية واحدة: البرمجيات الحديثة مدعومة بمحفظة واسعة ومتغيرة من المكونات مفتوحة المصدر، معظمها يقع خارج أعلى 20 صورة الأكثر شعبية. هذا ليس المكان الذي يقضي فيه المطورون وقتهم، ولكنه المكان الذي تتراكم فيه معظم مخاطر الأمان والامتثال.

يخلق هذا انفصالًا مقلقًا: من المنطقي أن تركز فرق الهندسة على المجموعة الصغيرة من المشاريع الأكثر أهمية لمكدسها، ولكن الجزء الأكبر من التعرض يكمن في المجموعة الهائلة من التبعيات التي لا يملكون الوقت لإدارتها.

لهذا السبب، فإن اتساع النطاق أمر بالغ الأهمية. تم تصميم Chainguard لاستيعاب العبء التشغيلي للمشاريع “الطويلة”، وتوفير التغطية والمعالجة على نطاق لا تستطيع الفرق الفردية تبريره بمفردها. مع ازدياد تعقيد سلاسل توريد المصادر المفتوحة، ستواصل Chainguard تتبع أنماط الاستخدام وإلقاء الضوء على مكان وجود المخاطر الحقيقية، حتى لا تضطر للقتال ضد “المشاريع الطويلة” وحدها.

هل أنت مستعد للبدء مع المصدر الموثوق للبرمجيات مفتوحة المصدر؟ تواصل مع Chainguard لمعرفة المزيد.

ملاحظة: تمت كتابة هذا المقال ببراعة وساهم فيه إد سوما، نائب رئيس تسويق المنتجات، وساشا إتkis، محلل منتجات.