Home
الأرشيف

أفضل مواقع تتبع ثغرات CVE المحدثة يومياً لمختصي الأمن السيبراني 2026

تعرف على أهم المنصات العالمية لتتبع ثغرات CVE وتحليل نقاط الضعف الأمنية بشكل يومي. دليل شامل لمصادر يعتمد عليها خبراء الأمن السيبراني لمراقبة الثغرات.
Cybersecurity Arab

في كل يوم تُكتشف عشرات الثغرات الأمنية الجديدة في البرامج والأنظمة التي تستخدمها مؤسستك الآن. الفارق بين فريق أمني محترف وآخر يعمل وكأنه يطفئ حرائق ليس في الميزانية ولا في الأدوات — بل في من يعلم أولاً. هذا المقال يضعك في الجانب الصحيح من هذه المعادلة.

أفضل مواقع تتبع ثغرات CVE المحدثة يومياً لمختصي الأمن السيبراني 2026
أفضل مواقع تتبع ثغرات CVE المحدثة يومياً لمختصي الأمن السيبراني 2026

ما هو CVE وما علاقته بعملك اليومي؟

نظام CVE — اختصاراً لـ Common Vulnerabilities and Exposures — هو المعيار الدولي لتسمية الثغرات الأمنية وتوثيقها. كل ثغرة تحصل على معرّف فريد من شكل CVE-2025-12345، يتيح للمختصين في كل أنحاء العالم التحدث عن نفس الثغرة دون لبس أو ازدواجية.

ما الفرق بين CVE و NVD و CVSS؟
CVE هو المعرّف فقط. NVD هي قاعدة بيانات الحكومة الأمريكية التي تضيف إليه تفاصيل تقنية وتقييم خطورة. CVSS هو نظام التقييم الرقمي من 0 إلى 10 الذي يخبرك بمدى خطورة الثغرة نظرياً.

المشكلة أن المعلومة موجودة في عشرات المصادر المختلفة. بعضها رسمي حكومي، وبعضها تجاري، وبعضها مجتمعي. معرفة أيها تثق به وكيف توظّفه في عملك اليومي — هذا ما يفصل بين مختص عادي ومختص لا يُستغنى عنه.

أرقام تضع المشكلة في سياقها الحقيقي

قبل أن نتحدث عن المواقع، من المهم أن تفهم حجم الضوضاء التي عليك التعامل معها. في عام 2025 وحده نُشر ما يزيد على 48,000 ثغرة CVE — أي ما يعادل 132 ثغرة جديدة كل يوم بالمتوسط. منها أكثر من 3,900 مصنّفة حرجة Critical.

تنبيه مهم!
NVD شهدت تأخراً ملحوظاً في إضافة تفاصيل CVSS لكثير من الثغرات خلال 2024–2025. الاعتماد عليها وحدها قد يعطيك صورة ناقصة. المنصات المذكورة في هذا المقال تعوّض هذا القصور.

لا يمكن لأي فريق أمني متابعة كل CVE واحدة بواحدة. الحل هو اختيار المصادر الصحيحة ومعرفة كيف تفلتر وتُحدد الأولويات — وهذا بالضبط ما سنتناوله.

المواقع الأساسية: المصادر الرسمية

هذه المنصات تعتمد عليها الحكومات والمؤسسات الكبرى. مجانية، موثوقة، ومُحدّثة بشكل مستمر. ابدأ منها قبل أي مصدر آخر.

1. NVD — National Vulnerability Database

المرجع الرسمي الأول على الإطلاق. قاعدة البيانات الوطنية الأمريكية للثغرات، تديرها مؤسسة NIST. كل CVE تصل إليها تحتوي على تفاصيل تقنية كاملة، درجة CVSS بإصداراتها المختلفة، وروابط للمراجع والتصحيحات. إذا كنت تكتب سياسة أمنية أو تقريراً رسمياً، هذا هو المصدر الذي تستشهد به.

ما يميّزها كذلك هو NVD API 2.0 المجاني الذي يتيح لك استعلام برمجي عن أي CVE أو مجموعة ثغرات تخص منتجاً معيناً مباشرةً من تطبيقاتك أو سكريبتات الأتمتة.

زيارة NVD

2. CVE Program — cve.org (MITRE)

المصدر الأصلي لبرنامج CVE الذي أطلقته مؤسسة MITRE عام 1999. هنا تجد المعرّفات الرسمية قبل أن تصل إلى أي قاعدة بيانات أخرى. ما يفيد المختصين المتقدمين تحديداً هو إمكانية الاطلاع على CVE في مرحلة Reserved — أي قبل الإفصاح الرسمي الكامل عنها.

الموقع كذلك يحتوي على دليل CNAs (CVE Numbering Authorities)، وهي الجهات المعتمدة لتسجيل الثغرات، مفيد إذا كنت تعمل في مجال الـ Bug Bounty أو Responsible Disclosure.

زيارة cve.org

3. CISA KEV — Known Exploited Vulnerabilities Catalog

هذا هو الأهم إذا كنت تريد قائمة مختصرة بالثغرات الخطيرة فعلاً. وكالة CISA الأمريكية تنشر فقط الثغرات التي يُستغلها المهاجمون في الحياة الواقعية — وهي تُلزم الوكالات الفيدرالية بتصحيحها خلال مهل محددة تتراوح بين أسبوعين وأربعة أسابيع.

إذا كانت الثغرة موجودة في قائمة CISA KEV، فهي أولوية قصوى بصرف النظر عن درجة CVSS.

مبدأ معتمد في إطار عمل CISA's Binding Operational Directive 22-01

القائمة متاحة للتصدير بصيغة JSON وCSV، ومحدّثة بشكل شبه يومي. أي فريق أمني لا يراجع هذه القائمة أسبوعياً على الأقل يفوّته معلومة قد تكون حرجة.

زيارة CISA KEV

4. CVEdetails.com

واجهة بصرية أكثر سهولة من NVD مع إمكانية تصفية الثغرات حسب المنتج والشركة المصنّعة ودرجة الخطورة. ما يميّزها أنها لا تعتمد كلياً على بيانات NVD — بل تُجري تحليلاً مستقلاً، وهو ما يجعلها أكثر اكتمالاً في الفترات التي تتأخر فيها NVD عن إضافة تفاصيل CPE.

كذلك توفر إشعارات بريدية لمنتجات بعينها تختارها، وتعرض مؤشر EPSS جنباً إلى جنب مع CVSS، إضافةً إلى الإشارة إلى وجود وحدة Metasploit لكل ثغرة — وهو مؤشر مباشر على سهولة استغلالها.

زيارة CVEdetails

5. CVEFeed.io

أداة مختلفة في فكرتها — بدلاً من أن تذهب أنت إلى الثغرات، هي تأتي إليك. تتيح إنشاء RSS feeds مخصصة تُرسل فقط ثغرات منتجات معينة أو ذات درجة CVSS محددة مباشرةً إلى قارئ RSS أو Slack أو أي أداة CI/CD. مثالية للدمج مع سير عمل DevSecOps دون الحاجة إلى برمجة.

زيارة CVEFeed.io

مواقع متقدمة لتحليل الثغرات وتحديد الأولويات

المصادر الرسمية تخبرك بأن الثغرة موجودة. هذه المنصات تخبرك بمدى احتمالية استغلالها، ومن يستخدمها الآن، وكيف ترتبط بمشهد التهديدات الأشمل.

6. EPSS — Exploit Prediction Scoring System (FIRST.org)

لا يكفي أن تعرف أن الثغرة خطيرة — المهم أن تعرف احتمالية استغلالها خلال الـ 30 يوماً القادمة. EPSS نموذج إحصائي تطوره منظمة FIRST يعطي كل CVE نسبة مئوية تعكس هذا الاحتمال بناءً على بيانات استخباراتية حقيقية.

مثال عملي على أهمية EPSS:
ثغرة بـ CVSS 9.8 وEPSS 2% تختلف تماماً في الأولوية عن ثغرة بـ CVSS 7 وEPSS 40%. الثانية يجب أن تُعالج أولاً رغم درجة CVSS الأدنى.

النموذج مجاني مع API مفتوح، ويُحدّث يومياً. إدماجه في قرارات إدارة الثغرات يرفع كفاءة الفريق بشكل ملموس.

زيارة FIRST EPSS

7. OpenCVE

منصة متكاملة لإدارة الثغرات، مفتوحة المصدر ومتاحة للاستضافة الذاتية. تتيح لك إنشاء مشاريع لمراقبة منتجات محددة، وتعيين CVEs لأعضاء الفريق، وتلقي تقرير يومي ذكي يرتّب الأولويات حسب CVSS وEPSS ووجود الثغرة في قائمة CISA KEV. للفرق التي تريد نظاماً مركزياً بدلاً من متابعة مصادر متعددة يدوياً.

زيارة OpenCVE

8. Vulners.com

محرك بحث متخصص في الثغرات الأمنية يجمع بيانات من مصادر متعددة في مكان واحد: NVD، وتقارير شركات الأمن، وإشعارات Exploit، وحتى منشورات GitHub. ما يميّزه هو تغطيته لثغرات تأخرت NVD في معالجتها، وواجهة البحث النصي المتقدمة التي تتيح استعلامات دقيقة جداً.

زيارة Vulners

9. OSV.dev — Open Source Vulnerabilities (Google)

مبادرة من Google تُركز على ثغرات مكتبات البرمجة مفتوحة المصدر. إذا كان فريقك يطوّر برمجيات، هذا الموقع يخبرك بالثغرات الموجودة في الحزم التي تستخدمها بالتحديد — مع الإشارة إلى أي إصدار يحتوي على الثغرة وأي إصدار يصلحها. يدعم Python وGo وJavaScript وRust وغيرها.

زيارة OSV.dev

مقارنة سريعة بين المنصات

المنصة تحديث يومي مجاني API إشعارات الأنسب لـ
NVD المراجع الرسمية والتقارير
CISA KEV تحديد الأولويات القصوى
CVEdetails جزئي البحث والتصفية البصرية
CVEFeed.io RSS التكامل مع الأدوات
EPSS (FIRST) الأولويات التنبؤية
OpenCVE جزئي إدارة الفريق مركزياً
Vulners جزئي البحث المتقدم
OSV.dev فرق تطوير البرمجيات

كيف تبني روتيناً يومياً لمراقبة CVE؟

متابعة كل هذه المواقع بشكل منفصل كل يوم غير عملي. الحل هو بناء نظام متكامل يلخّص لك المعلومات المهمة ويتجاهل الضوضاء. إليك كيف يعمل كثير من مختصي الأمن بشكل فعلي:

  1. ابدأ بـ CISA KEV كل صباح. افتح قائمة CISA KEV واقرأ الإضافات الجديدة. إذا وجدت أي منتج تستخدمه مؤسستك، فهذه أولويتك الأولى لهذا اليوم قبل أي شيء آخر.
  2. اجعل CVEFeed.io يعمل نيابةً عنك. أنشئ RSS feed مخصصة لمنتجاتك الأساسية فقط: سيرفر الويب، نظام التشغيل، المكتبات الرئيسية. دمّجها في Slack أو Telegram Bot ليصلك كل جديد تلقائياً دون أن تفتح موقعاً.
  3. استخدم EPSS لترتيب الأولويات. عندما تجد ثغرة مثيرة للقلق، ابحث عنها في FIRST.org للحصول على نسبة EPSS. هذه النسبة أكثر موثوقية من درجة CVSS وحدها لتقدير مدى الإلحاح الفعلي.
  4. للتحقق التفصيلي: NVD أو CVEdetails. عندما تحتاج تفاصيل تقنية كاملة أو البحث عن وحدة Metasploit موجودة — توجّه إلى CVEdetails. وللمراجع الرسمية في التقارير الرسمية، استخدم NVD.
  5. مرة أسبوعياً: مراجعة شاملة عبر OpenCVE. خصّص 30 دقيقة أسبوعياً لمراجعة تقرير موحّد يوضح الثغرات التي تراكمت وحالة التصحيح لكل منها في بيئتك.
نصيحة للفرق التقنية!
إذا كنت تستخدم SIEM مثل Splunk أو Microsoft Sentinel، يمكنك دمج NVD API مع تنبيهاتك الأمنية مباشرةً، بحيث يشير النظام تلقائياً لأي CVE ذات صلة بالأصول التي رصدها SIEM في بيئتك.

أسئلة شائعة حول تتبع ثغرات CVE

ما الفرق بين CVE و Zero-Day؟

CVE هو معرّف لثغرة مكتشفة ومُبلّغ عنها رسمياً. Zero-Day هي ثغرة غير معروفة للعامة بعد ولا يوجد لها تصحيح — بمجرد الإفصاح عنها رسمياً تحصل على معرّف CVE وتنتهي صفة الـ Zero-Day عنها. من الناحية العملية، الـ Zero-Days لا تظهر في هذه المواقع حتى يتم الإفصاح عنها.

هل درجة CVSS وحدها كافية لتحديد الأولويات؟

لا على الإطلاق. CVSS تقيس الخطورة النظرية للثغرة في أسوأ السيناريوهات، لكنها لا تأخذ في الاعتبار احتمالية الاستغلال الفعلي في بيئتك. استخدم CVSS مع EPSS معاً، وتحقق من وجود الثغرة في قائمة CISA KEV. هذه المعطيات الثلاثة معاً تعطيك صورة أدق بكثير.

كم من الوقت أحتاج يومياً لمتابعة هذه المواقع؟

إذا نظّمت نظامك جيداً بـ RSS feeds وإشعارات تلقائية عبر CVEFeed.io، يكفي 10 إلى 15 دقيقة يومياً للاطلاع على ما وصلك. الوقت الأطول يُخصص للتحقيق في ثغرة بعينها عند الحاجة، أو للمراجعة الأسبوعية الشاملة.

هل يمكن استخدام هذه المواقع بدون خلفية تقنية عميقة؟

نعم، خاصةً CISA KEV وCVEdetails — واجهتاهما واضحتان ولا تتطلبان معرفة برمجية. لكن للاستفادة الكاملة من الـ APIs وبناء سير عمل مؤتمتة تحتاج لمعرفة أساسية بالبرمجة أو أدوات مثل Zapier أو n8n لربط الخدمات.

خلاصة القول

تتبع ثغرات CVE ليس مهمة تنتهي عند تثبيت أداة أو الاشتراك في نشرة. هو ممارسة يومية تبنيها تدريجياً حتى تصبح جزءاً من ثقافة فريقك الأمني. ابدأ بالمصادر الرسمية الثلاثة الكبرى — NVD وcve.org وCISA KEV — وأضف إليها CVEFeed.io لأتمتة التنبيهات. بعدها تدريجياً ادمج EPSS في قرارات تحديد الأولويات، وستجد نفسك تتعامل مع منظومة معلوماتية متكاملة بدلاً من إطفاء حرائق يومي.

ملاحظة:
جميع المواقع المذكورة في هذا المقال مجانية في مستواها الأساسي. بعضها يقدم خططاً مدفوعة للمؤسسات التي تحتاج ميزات متقدمة مثل التقارير المخصصة أو الدعم المباشر.

مقالات ذات صلة

المراجع:
nvd.nist.gov — National Vulnerability Database
cve.org — MITRE CVE Program
cisa.gov/known-exploited-vulnerabilities-catalog — CISA KEV
first.org/epss — Exploit Prediction Scoring System
cvedetails.com — CVE Details
cvefeed.io — CVE Feed RSS
osv.dev — Google Open Source Vulnerabilities

Post a Comment