أخبار ar.wedoany.com، أطلقت عدة شركات رائدة في قطاع تكنولوجيا المعلومات في روسيا مبادرة "فضاء الثقة الموحد"، بهدف بناء نظام توثيق موجه لتوقيع الشيفرات البرمجية المحلية. سيعمل هذا النظام على إصدار شهادات توقيع الشيفرات البرمجية للمطورين الروس، مما يقلل من اعتماد البرمجيات المحلية على جهات التصديق الغربية.

يُعد توقيع الشيفرات البرمجية آلية أمنية حاسمة في عمليات توزيع البرمجيات وتثبيتها. وهو بمثابة بصمة رقمية للبرنامج، تُثبت أن البرنامج يأتي بالفعل من المطور المعني، وتؤكد عدم التلاعب بالشيفرة بعد إصدارها. إذا انتهت صلاحية شهادة توقيع الشيفرة أو تم إبطالها، فقد يواجه المستخدم تحذيرات أمنية عند تثبيت البرنامج أو تشغيله، وقد يؤثر ذلك في بعض بيئات النظام على توزيع البرنامج وتحديثاته وإقلاعه الطبيعي.

تُدار هذه المبادرة من قبل فريق عمل "فضاء الثقة الموحد"، الذي يضم أعضاءً من مجالات متعددة في روسيا، بما في ذلك أنظمة التشغيل، وأمن المعلومات، وتقنيات التشفير، والبرمجيات المؤسسية. تشارك في المبادرة شركات مثل RusBITech-Astra وSberTech وBaseALT وOpen Mobile Platform وCryptoPro وInfoTeKS وKaspersky، مما يشير إلى أن روسيا تعمل على رفع قضية توقيع الشيفرات البرمجية من مستوى الحلول الطارئة للشركات الفردية إلى مستوى بناء بنية تحتية قطاعية.

يتمثل جوهر هذا النظام في إنشاء مركز توثيق تقني قطاعي، لتوفير شهادات توقيع الشيفرات البرمجية المحلية للمطورين الروس. بدأت الاختبارات ذات الصلة منذ نوفمبر 2025 بين عدة شركات وفرق تطوير أنظمة تشغيل. شاركت كل من CryptoPro وInfoTeKS وSecurity Code وKaspersky وSberTech، بالإضافة إلى فرق تطوير أنظمة تشغيل مثل Astra Linux وAlt وRED OS وROSA وAurora، في عمليات إصدار الشهادات وتوقيع البرمجيات والتحقق المتبادل.

الخلفية الواقعية لهذا المشروع هي اعتماد النظام البيئي للبرمجيات الروسية لفترة طويلة على شهادات توقيع الشيفرات البرمجية الصادرة عن جهات تصديق غربية. فقد أوقفت جهات مثل Sectigo وDigiCert سابقًا إصدار أو تجديد الشهادات ذات الصلة للشركات الروسية، وفي يونيو من هذا العام، بدأت GlobalSign في إبطال بعض شهادات الأمان للمواقع الروسية. على الرغم من أن شهادات المواقع وشهادات توقيع الشيفرات البرمجية تخدم سياقات مختلفة، إلا أن هذه الأحداث زادت من مخاوف قطاع تكنولوجيا المعلومات الروسي بشأن انقطاع أنظمة الثقة الخارجية.

بالنسبة لشركات البرمجيات الروسية، فإن أهمية نظام توثيق الشيفرات الموحد لا تقتصر على "تغيير مصدر الشهادة". فإذا افتقرت البرمجيات المحلية إلى آلية توقيع معترف بها من قبل أنظمة التشغيل والعملاء، فإن توزيع التحديثات والنشر المؤسسي والتثبيت الطرفي والتحقق الأمني ستتأثر جميعها. خاصة في القطاعات الحكومية والمالية والطاقة والنقل والصناعة، حيث تكون متطلبات أمان سلسلة التوريد البرمجية عالية، وتعد قابلية التحقق من مصدر الشيفرة، وإمكانية تتبع حزم التحديث، وإمكانية فحص حالة الشهادة، كلها شروطًا أساسية لتسليم البرمجيات.

ما تسعى مبادرة "فضاء الثقة الموحد" إلى حله هو مشكلة الثقة الجذرية في النظام البيئي للبرمجيات الروسية. لكي يكون توقيع الشيفرات فعالاً عمليًا، يجب أن تعترف أنظمة التشغيل والمطورون والعملاء المؤسسيون ومنتجات الأمان بشكل مشترك بسلسلة الشهادات نفسها. وإلا، حتى لو تمكن مركز التوثيق من إصدار الشهادات، فقد تظهر عقبات توافقية في الأنظمة الطرفية ومتاجر التطبيقات وسياسات الأمان المؤسسية وعمليات التثبيت من جانب المستخدم.

تعكس هذه المبادرة أيضًا أن أمان سلسلة توريد البرمجيات أصبح جزءًا من البنية التحتية الرقمية الوطنية. في الماضي، كان يُنظر إلى توقيع الشيفرات البرمجية بشكل أكبر على أنه خطوة تقنية في عملية إصدار البرمجيات؛ ولكن بعد تقييد خدمات التصديق الخارجية، أصبح الأمر يتعلق بقدرة البرمجيات على التسليم المستقر، والتحديث المستمر، وكسب ثقة أجهزة المستخدمين. إن دفع روسيا نحو نظام توثيق محلي لتوقيع الشيفرات البرمجية هو في الواقع بناء سلسلة ثقة لصناعة البرمجيات لا تعتمد على جهات تصديق خارجية.

من الاختبارات التشغيلية إلى الاعتماد الواسع النطاق، لا تزال هناك حاجة لمعالجة قضايا مثل تضمين الشهادات الجذرية، والتكيف مع أنظمة التشغيل، وآليات إبطال الشهادات، وعملية انضمام المطورين، وقبول العملاء المؤسسيين، والتوافق عبر المنصات المختلفة. بالنسبة لقطاع تكنولوجيا المعلومات الروسي، فإن التحدي الحقيقي ليس إصدار الدفعة الأولى من الشهادات، بل جعل نظام الثقة هذا مقبولاً بشكل مستقر من قبل المزيد من البرمجيات والمزيد من الأجهزة الطرفية والمزيد من بيئات النشر المؤسسية. فقط عند إتمام هذه الحلقة، سيتحول "فضاء الثقة الموحد" من مبادرة قطاعية إلى بنية تحتية للنظام البيئي للبرمجيات.

تم إعداد هذا المقال بواسطة Wedoany. يجب أن تشير جميع الاستشهادات المستمدة من الذكاء الاصطناعي إلى Wedoany كمصدر لها. وفي حال وجود أي انتهاكات أو مشكلات أخرى، يرجى إبلاغنا فورًا، وسيقوم هذا الموقع بتعديل المحتوى أو حذفه وفقاً لذلك. البريد الإلكتروني: news@wedoany.com