100%
GRIMOIRE
الكتابمدونة البيبيمجلدات التوليفThe Foundation of Iron (EN)
FRENAR
RATIO
OPÉRATION DINDON
دراسة بنيوية · Opération Dindon · يونيو 2026
◆◆◆
الدَّين الخفي
المصادر المفتوحة كبنية تحتية حرجة غير مُموَّلة
◆ السياق

وثّقت مُدوّنة Opération Dindon الاعتماد على شركات الحوسبة الكبرى وأشباه الموصّلات. لم تتناول الطبقة الأدنى: الاعتماد على مصادر مفتوحة غير مُموَّلة. Linux، وOpenSSL، وcurl، وbash — تعمل البنية التحتية العالمية على برمجيات يصونها أفراد أو فرق صغيرة، غالبًا متطوّعون. كشفت ثغرة Log4Shell عام 2021 حجم هذه الهشاشة.

◆◆◆
أمين غيتي — مهندس بنية تحتية و SRE
أستاذ سابق بمدرسة هندسة · مدرّب بنية تحتية
وثيقة عامة · CC BY-NC-SA 4.0 · Opération Dindon
RATIO
1
القسم 1 · OpenSSL والشخصان
البنية التحتية العالمية تعمل على متطوّعين

عام 2014، كشفت ثغرة Heartbleed خللًا حرجًا في OpenSSL — مكتبة التشفير التي تُؤمِّن الغالبية العظمى من اتصالات HTTPS عالميًا. في وقت الاكتشاف، كانت OpenSSL يصونها فريق من شخصين بدوام كامل، بميزانية سنوية حوالي 2,000 دولار من التبرّعات.

◆ Log4Shell — دراسة حالة 2021

Log4j مكتبة تسجيل جافا مُضمَّنة في ملايين التطبيقات. صُنِّفت ثغرة Log4Shell المُكتشَفة في ديسمبر 2021 بدرجة 10/10 على مقياس الخطورة CVSS. كانت Log4j يصونها حفنة من المتطوّعين دون تمويل تجاري مُهيكَل.

◆ نصيحة — المصادر المفتوحة ليست مجانية

المصادر المفتوحة ليست مجانية. تُموَّل بوقت مُساهميها غير مدفوع الأجر أو ضعيف الأجر. عدم مرئية التكلفة هو مصدر الهشاشة.

RATIO
2
القسم 2 · سلسلة التبعية الخفية
ما يقع تحت الكود الذي نكتبه

يعتمد كل مطوِّر أو مهندس بنية تحتية على تبعيات مفتوحة المصدر في عمله اليومي — غالبًا دون وعي بذلك. يمكن لتطبيق ويب حديث الاعتماد على 500 إلى 1,000 مكتبة مفتوحة المصدر.

◆ الخطر البشري للاعتماد على المصادر المفتوحة

هشاشة المصادر المفتوحة غير المُموَّلة ليست تقنية فقط — إنها بشرية. صائن يُصاب بالإرهاق، أو يُغيِّر وظيفته، أو يمرض، يترك مكتبة تعتمد عليها آلاف المشاريع.

RATIO
3
القسم 3 · من يُموِّل ماذا
عدم تناظر القيمة والمساهمة
◆ ما تُساهم به شركات الحوسبة الكبرى

تصون Google Kubernetes وAngular وTensorFlow. استحوذت Microsoft على GitHub. لكن التفاوت بين القيمة المُستخرَجة والمساهمة المُقدَّمة يبقى كبيرًا.

◆ مشاريع حرجة لا تتلقّى شيئًا

تتركّز مساهمات شركات الحوسبة الكبرى على مشاريع تتحكّم بها أو تخدم صورتها. تبقى المشاريع الحرجة منخفضة المرئية — مكتبات الضغط، مُحلِّلات صيغ الملفات — يصونها أفراد دون تمويل مُهيكَل.

RATIO
4
القسم 4 · نماذج تعمل
ما هو موجود وما هو ناقص
◆ النموذج 1 — المؤسسات (Linux، Apache)

تجمع مؤسسات المصادر المفتوحة رسوم عضوية من الأعضاء الشركات. يعمل هذا النموذج للمشاريع المرئية بما يكفي لجذب أعضاء كافين. يفشل للمشاريع الحرجة منخفضة المرئية.

◆ النموذج 2 — الترخيص المزدوج

تبنّت شركات مثل HashiCorp وElastic نماذج يكون فيها الكود الأساسي مفتوح المصدر والميزات المتقدّمة مِلكية خاصة.

◆ النموذج 3 — صندوق التقنية السيادي (ألمانيا)

أنشأت ألمانيا صندوق التقنية السيادي عام 2022 — صندوق عام يُموِّل مباشرة صيانة مكتبات المصادر المفتوحة الحرجة المُحدَّدة كبنية تحتية وطنية رقمية. هذا هو النموذج الأكثر اتساقًا مع أطروحة هذه الدراسة.

RATIO
5
القسم 5 · ما يستطيع SRE فعله
معرفة سلسلة تبعياتك
◆ الرافعة 1 — تدقيق تبعياتك مفتوحة المصدر

اعرف المكتبات الحرجة التي تعتمد عليها بنيتك التحتية، ومستوى صيانتها، وتاريخ ثغراتها. يجب أن يكون هذا التدقيق معيارًا كتدقيق الأمان — لأنه أمان فعليًا.

◆ الرافعة 2 — دمج خطر «هجر الصائن» في تحليلات المخاطر

يجب أن يظهر خطر هجر صائن حرج لمكتبته في تحليلات مخاطر البنية التحتية، جنبًا إلى جنب مع خطر إفلاس المُورِّد.

◆ نصيحة — المساهمة ليست متاحة للجميع

تتطلّب المساهمة في المصادر المفتوحة وقتًا ومهارات لا يملكها كل SRE وكل شركة. الاستجابة النُظُمية — التمويل العام، الالتزامات القانونية — لا بديل عنها.

RATIO
6
القسم 6 · الاقتراح
معاملة المصادر المفتوحة كبنية تحتية عامة
◆ الإجراء 1 — إنشاء صندوق أوروبي للمصادر المفتوحة الحرجة

على نموذج صندوق التقنية السيادي الألماني، صندوق أوروبي لتمويل المصادر المفتوحة الحرجة — بميزانية تتناسب مع حجم الاقتصاد الرقمي الأوروبي.

◆ الإجراء 2 — إعلان إلزامي للتبعيات الحرجة

يجب على الشركات فوق حجم معيّن الإعلان سنويًا عن تبعياتها الحرجة مفتوحة المصدر.

◆ الإجراء 3 — دمج المصادر المفتوحة في معايير المشتريات العامة

يجب أن يدمج كل عقد خدمات رقمية عامة معيار المساهمة في تمويل المصادر المفتوحة الحرجة في شروط الترسية.

◆◆◆

الدَّين الخفي يُسدَّد دائمًا. أحيانًا بالمال. أحيانًا بـHeartbleed. أحيانًا بـLog4Shell. من الأفضل اختيار لحظة السداد وشكله بدل أن يُختار لك.

◆◆◆
أمين غيتي · Opération Dindon · 2026
وَرَبُّنَا الرَّحْمَٰنُ الْمُسْتَعَانُ عَلَىٰ مَا يَصِفُونَ