يُشكِّل تشغيل البرمجيات المُهجورة أو المنتهية الدعم (End-of-Life) تهديداً كبيراً للأمن التشغيلي والامتثال. فكما يؤكد مركز أمن الإنترنت (CIS) إن برامج الـEOS لا تتلقى تحديثات أو تصحيحات؛ وبالتالي تصبح هدفاً سهلاً للهجمات مع كل كشف جديد للثغرات. وقد أظهرت تحليلات أمنية حديثة أن معظم الهجمات الكبرى تستهدف تقنيات منتهية الدعم: فعلى سبيل المثال، كانت أكثر من 50% من الأنظمة التي تستخدم مكتبات Log4j يوم zero من دون دعم رسمي، و98% من أجهزة الحواسيب المُصابة بفيروس WannaCry كانت تعمل على نظام ويندوز 7 المنتهي الدعم. إضافة إلى ذلك، قد تترتب على تشغيل برمجيات منتهية الدعم مشكلات امتثال قانونية (مثل اللوائح PCI وHIPAA) وتكاليف صيانة إضافية، فضلاً عن زيادة احتمال الخرق الأمني.
لحسن الحظ، باتت هناك أدوات متخصصة مثل Aikido و Tenable وغيرها الكثير تساعد المؤسسات على رسم خريطة دقيقة لمكوّناتها البرمجية وتحديد ما فيها من نُسخ تجاوزت عمر الدعم. تتنوع هذه الأدوات من حيث تخصصها: فبعضها يركِّز على نظم التشغيل والخوادم والشبكات، وبعضها الآخر مخصّص لتحليل الأكواد ومكتبات الحاويات. فيما يلي خمسة أدوات رائدة وشائعة الاستخدام في هذا المجال، تُوضِّح وظائفها، مجالات تطبيقها، ونقاط قوتها وحدودها العملية:
1. Tenable Vulnerability Management (Nessus)
ما هي؟ منصة لإدارة الثغرات والأصول (Vulnerability Management) من Tenable، تتضمن ماسحات شبكية وعمليات حفظ جرد آلي.
بيئة الاستخدام: تتناسب مع المؤسسات التي تتضمن أجهزة سيرفرات ومحطات عمل شبكية بنظام ويندوز أو لينوكس، فضلاً عن خدمات سحابية متصلة.
كيف تكتشف المنتهية؟ توفر لوحة تقارير “Unsupported Software” تحدد الأنظمة والتطبيقات غير المدعومة. تفحص Tenable النظام عبر الوكلاء أو الماسحات باستخدام طرق نشطة: تفحص سجلات نظام ويندوز (المُسجلات)، ومواقع تثبيت البرامج الشائعة، وتتفقد مديري الحزم (YUM/APT) في لينوكس. تقارن بعد ذلك البيانات بقوائم الدعم الرسمية لتصنيف الإصدارات المنتهية.
نقاط القوة: تعرِّف بسرعة الأنظمة التي لم يعد لها تحديثات، وتدمج نظرة الأمن مع إدارة أصول الـIT، مما يساعد فرق المخاطر على إعداد خطط ترقية فعالة. تدعم متطلبات توافق (GDPR، PCI) عبر التأكيد على أن فقط البرمجيات الحالية مدرجة في الجرد الأمني.
القيود: تتطلب عادة بيئة ماسحات متصلة، وقد تواجه صعوبات في اكتشاف أجهزة غير متصلة بالإنترنت. كما تركز على مستوى نظام التشغيل والتطبيقات المثبتة، وقد تحتاج تكاملًا إضافيًا لاستيعاب مكونات مخصصة أو برمجيات خاصة.
2. Aikido
تُقدِّم Aikido ميزة Detect Outdated & End-of-Life Software بوصفها طبقة متخصصة داخل منصة أمن التطبيقات وسلسلة التوريد البرمجية، وهدفها ليس فقط رصد الثغرات المعروفة، بل أيضًا كشف المكوّنات التي خرجت من نطاق الدعم الرسمي أو اقتربت من نهايته. تكمن أهمية ذلك في أن كثيرًا من المخاطر لا تبدأ مع ظهور CVE جديد فحسب، بل مع بقاء إطار عمل أو runtime أو خادم ويب في بيئة الإنتاج بعد توقف المورّد عن إصدار تحديثات وتصحيحات له. لهذا تطرح Aikido فحص البرمجيات منتهية الدعم باعتباره جزءًا من إدارة المخاطر التقنية اليومية، لا كفحص منفصل أو موسمي.
بيئة الاستخدام
بيئات تطوير وتشغيل حديثة داخل المؤسسات، خصوصًا الفرق التي تبني البرمجيات وتديرها عبر دورة حياة كاملة من الكود إلى السحابة إلى وقت التشغيل
وظيفتها
Aikido مناسب إذا كانت بيئتك تشمل مستودعات Git، وخطوط CI/CD، وصور حاويات Container Images، وبنى سحابية وكلاسترز Kubernetes، وأجهزة افتراضية VM، إضافة إلى تطبيقات الويب والواجهات البرمجية API. الوثائق والصفحات الرسمية تذكر دعمه لمسارات مثل Code Scanning وCloud Scanning وContainer Image Scanning وVirtual Machine Scanning وSurface Monitoring وPentests، كما يندمج مع منصات مثل GitHub وGitLab وBitbucket وJenkins وAzure Pipelines وغيرها.
النقاط القوية والقيود
Aikido يقدّم هذه الميزة ضمن منصة موحّدة تجمع بين فحص الكود، والاعتماديات، والحاويات، والسحابة، والـ VM، ومراقبة السطح الهجومي، بدل أن تكون وظيفة معزولة داخل أداة منفصلة. قوة أخرى مهمة هي أن Aikido لا تنتظر انتهاء الدعم فعليًا، بل توفّر إنذارات استباقية قبل الوصول إلى مرحلة EOL، ثم ترفع مستوى الشدة كلما اقترب التاريخ أو تجاوزه.أبرز قيد عملي هو أن قيمة الميزة تعتمد بدرجة كبيرة على ربط المصادر الصحيحة بالمنصة. فوثائق Aikido توضح أن مراقبة الـ runtimes تبدأ بعد ربط Docker registry، كما أن بعض قدرات Kubernetes تتطلب تثبيت مكوّن إضافي داخل الكلاستر لتوليد SBOM وفحص الصور المنشورة فعليًا. هذا يعني أن التغطية ليست “سحرية” أو تلقائية بالكامل من دون إعداد وربط مناسبين.
3. Greenbone/OpenVAS Vulnerability Scanner
ما هي؟ ماسح أمني مفتوح المصدر يُعرف سابقاً بـ OpenVAS، يشمل مجموعة واسعة من المكونات المادية والبرمجية.
بيئة الاستخدام: الشبكات الداخلية والخارجية، الخوادم بكل أنواعها، أجهزة الشبكة، وغيرها.
وظيفتها: يحتوي OpenVAS على سكريبتات (Plugins) للبحث عن أنظمة تشغيل أو برامج وصلت نهاية عمرها. فمثلاً هناك سكريبت متخصص لاكتشاف نظام تشغيل منتهي الدعم، يقارن إصدارات النظام مع قواعد بيانات دعم الشركة المطورة. إذا وجد السكريبت أن النظام (مثلاً Windows Server 2012) منتهي الدعم، يظهر تنبيه بضرورة الترقية.
النقاط القوية والقيود: كونه مفتوح المصدر، لا يلزمه ترخيص مكلف، ويُحدّث باستمرار بواسطة مجتمع أمان نشط. يغطي تنوعاً كبيراً من البروتوكولات والخدمات، بما في ذلك الكشف عن برامج منتهية الدعم دون الحاجة إلى أصول مباشرة (مسح عن بُعد). ومع ذلك يتطلب خبرة في التهيئة والاستغلال، وقد يحتاج وقتاً لفهم كيفية تخصيص قواعد البيانات أو إضافة بيانات دعم جديدة.
4. Trivy (من Aqua Security)
ما هي؟ ماسح أمن السلاسل البرمجية (SBOM) والحاويات (Open Source) يقوم بتحليل الحاويات والأنظمة الافتراضية ومخازن الحزم.
بيئة الاستخدام: البيئات التي تستخدم الحاويات (Docker، Kubernetes)، وكذلك الصور الافتراضية وأنظمة الملفات الجذرية. يمكنه فحص ملفات SBOM أيضاً.
وظيفتها: يركز Trivy على فحص مكونات الحاوية والبرمجيات لمعرفة الثغرات المعروفة، لكنه يدمج مؤخراً آلية لاكتشاف أنظمة التشغيل أو الحزم المنتهية الدعم. باستخدام الخيار –exit-on-eol، يفحص البرنامج النسخة الأساسية للحاوية أو الصورة: إذا تبين أنها لم تعد مدعومة (مثلاً Alpine 3.10)، يرفع تحذيراً وينهي الفحص بحالة فشل. يمكن لهذا الخيار إخراج رسالة تحذير واضحة بأن التوزيعة المستخدمة “لم تعد مدعومة”، مما يمنع تجاهل مثل هذا الوضع في خطوط CI/CD.
النقاط القوية والقيود: Trivy سهل الاستخدام ومجاني، ويغطي المكونات الشائعة في حاويات لينكس بما فيها أنظمة التشغيل ومكتباتها. قوته تكمن في دمج فحص الثغرات وإعلام عن EOL في خطوة واحدة. والقيود: ينصب اهتمامه على بيئات الحاويات والبرمجيات مفتوحة المصدر؛ فهو لا يكتشف برمجيات منتهية الدعم خارج الحاويات (مثل برنامج مُثبت على جهاز ويندوز بدون SBOM). لذلك يعتمد على تحميل الصورة أو الجذرية لفحصها.
5. OWASP Dependency-Track
ما هي؟ منصة مفتوحة المصدر لإدارة مكونات البرمجيات (Component Analysis) بناءً على SBOM (Software Bill of Materials).
بيئة الاستخدام: بيئات تطوير البرمجيات والتطبيقات التي تعتمد على مكونات مفتوحة المصدر ومكتبات خارجية. تُدخل المشاريع تقارير SBOM ليتم تحليلها وتحديد أوجه الضعف ومدى تعرّض التراخيص وغير ذلك.
وظيفتها: أصلاً تركز على ربط مكونات البرنامج بالثغرات المعروفة (CVE). ومع ذلك، تطورت عبر إضافات برمجية لإدخال معلومات حول انتهاء الدعم (End-of-Life) من قواعد عامة مثل endoflife.date. فعلى سبيل المثال، يوضح مطورون أن دمج بيانات “endoflife.date” في Dependency-Track يمكن أن يرفع تنبيهات حول مكونات أو إصدارات لم يعد لها دعم رسمي. فعند استيراد SBOM المشروع، يضيف النظام صفوفاً أو ثغرات وهمية تصف حالة انتهاء الدعم للحزمة، مما يسمح للفرق بمعرفة المكونات المهملة والتي يجب استبدالها.
النقاط القوية والقيود: Dependency-Track قوي في التعامل مع مئات أو آلاف المكونات البرمجية، ويتيح رؤية شاملة عبر ربطها بقاعدة بيانات الثغرات والاستفادة من معايير SBOM (مثل CycloneDX أو SPDX). كما يعتمد على هيكلية API-first تسهل الدمج مع أنظمة CI/CD وأدوات إدارة الحاويات. أما حدوده، فهي أنه لا يتابع أنظمة التشغيل أو التطبيقات التي لا تعطي SBOM صريحة (كبرامج سطح المكتب التقليدية)، كما يتطلب وجود ملف SBOM أو قائمة مكونات مضبوطة مسبقاً. لذلك غالباً ما يُستخدم كجزء من منظومة إدارة أوسع للأصول البرمجية، وليس كحل وحيد لمعرفة كل البرمجيات المنتهية الدعم داخل الشبكة.
