لماذا لا أستطيع معرفة ما إذا كان ما يعمل فعلاً يطابق ما أعلنه SBOM الخاص بي؟
الفرصة
تُولَّد قوائم مكونات البرمجيات (SBOMs) في وقت البناء وتصف ما ادّعى البناء أنه يحتويه. بحلول وقت نشر البرنامج وتشغيله، ربما انجرفت التبعيات، وتترك المكتبات المرتبطة بشكل ثابت أثراً لا يُرى في وقت التشغيل، ولا توجد أداة معيارية للتحقق من أن عملية مباشرة تطابق قائمة المواد المُعلنة. وجد تحليل IBM لعام 2025 لأكثر من 35,000 SBOM أن 7,907 منها أخفقت في الإفصاح عن التبعيات المباشرة، وتُصنّف وثيقة التنفيذ الصادرة عن ENISA في ديسمبر 2025 انجراف وقت التشغيل باعتباره أحد الفجوات المفتوحة الجوهرية. الفجوة بين SBOM موقّع وحاوية قيد التشغيل لا يجسرها حالياً سوى الثقة وحدها.
لماذا تهم
تُلزم اللوائح في الاتحاد الأوروبي والولايات المتحدة الآن باعتماد قوائم مكونات البرمجيات (SBOMs)، لكن بدون شهادة وقت التشغيل تظل أدوات تدقيق لا ضوابط أمنية.
كيف أقيّم الفرصة
نقاط الفرصة هي قراءتي الشخصية لا قياس دقيق: مدى تأثير المشكلة، وتكرار مواجهتها، وشُح الحلول المتاحة لها اليوم. كلما ارتفعت النقاط، كان البناء في رأيي أجدر بالاهتمام.
مقدار الألم الذي تسببه حين تظهر.
مدى تكرار مواجهة الناس لها فعلياً.
مدى شُح الأدوات الجيدة المتاحة لها اليوم.
مزيد من المشكلات التي تستحق الحل
لماذا يكون البرنامج الذي نعتمد عليه أكثر من غيره هو الأصعب في الاستخدام؟
Techلماذا لا أمتلك أياً من البيانات التي أولّدها؟
Techلماذا لا أستطيع الحصول على إيصال يُثبت أن بياناتي قد حُذفت فعلاً؟
Techلماذا تنهار كل سلسلة مصدر C2PA فور وصول المحتوى إلى وسائل التواصل الاجتماعي؟
Techلماذا يظل البرنامج مفتوح المصدر الحيوي رهيناً بمطوّر واحد منهك؟
Techلماذا لا يوجد مسار للتعافي حين يُسرِّب اختراق ما بياناتي البيومترية؟