كيف تقرأ تدقيقاً أمنياً لمدير كلمات المرور: Cure53 وISE وSOC 2، وما الذي يغطيه كل منها فعلياً
تتحقق أنواع التدقيق المختلفة من أمور مختلفة. يغطي Cure53 التطبيق التشفيري؛ ويغطي SOC 2 الضوابط التنظيمية. إليك ما نشره كل مدير كلمات مرور كبير فعلياً.
أنواع التدقيق الثلاثة المهمة
(1) تدقيق التشفير / اختبار الاختراق — تفحص شركة أمنية (Cure53 أو ISE أو NCC Group أو Praetorian) التطبيق التشفيري وضوابط الوصول إلى الخادم وتطبيقات العميل، وتُبلغ عن النتائج مع تصنيفات الخطورة. يكون التدقيق جيداً عندما يُنشر التقرير الكامل مع اسم المدقّق وتاريخه ونطاقه. (2) SOC 2 Type II — تدقيق للضوابط التنظيمية يغطي الأمان والتوافر وسلامة المعالجة والسرية والخصوصية على المستوى التشغيلي عبر نافذة مراقبة تمتد 6 أشهر فأكثر. (3) ISO 27001 — شهادة لنظام إدارة أمن المعلومات. إنّ Type 1 ≠ Type 2، والنطاق أهم من الشارة.
ما الذي نشره كل مدير
Bitwarden: تدقيقات سنوية من جهات خارجية (Cure53 وISE وInsight Risk Consulting)؛ والتقارير مرتبطة من bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + اختبارات اختراق ISE؛ وسجل التدقيق الأمني على 1password.com/security-audit. Proton Pass: تدقيق أمني كامل من Cure53 عند الإطلاق (2023، لا توجد نتائج حرجة، وعولجت النتائج المتوسطة قبل الإطلاق) وفقاً لـ proton.me/blog/pass-launch. NordPass: تدقيق الصندوق الأبيض من Cure53 في فبراير 2020، وتدقيق ثانٍ من Cure53 على NordPass Business عام 2021، وSOC 2 Type 2، وشهادة ISO 27001 وفقاً لـ nordpass.com/features/security. KeePassXC: مفتوح المصدر ومُدقَّق من المجتمع — لا يوجد تدقيق خارجي مُكلَّف، لكن الشيفرة المصدرية متاحة للعامة على GitHub.
علامات التحذير في تسويق التدقيق
(1) تدقيق أجرته شركة محاسبة دون اسم شركة أمنية منشور. (2) نطاق تدقيق محصور في «التطبيق» من دون تحديد أي المكوّنات. (3) تدقيق أقدم من 24 شهراً على منتج تغيّرت بنيته. (4) خطاب موجز بدلاً من تقرير كامل. (5) تدقيق أُجري قبل إصدار رئيسي غيّر التطبيق التشفيري بشكل جوهري. لا ينطبق أي من هذه الأنماط على المديرين الخمسة في هذه المقارنة؛ في المقابل، أبدت مراسلات LastPass بعد الاختراق (المستبعدة من هذه المقارنة) عدداً منها.
ما الذي لا يغطيه التدقيق
توثّق التدقيقات ما فحصته الشركة الأمنية في لحظة زمنية واحدة. وهي لا تغطي هجمات سلسلة التوريد (تبعيات npm المخترقة في بناء العميل) ولا مخاطر التهديد الداخلي لدى المزوّد ولا الثغرات الجديدة المكتشَفة بعد نافذة التدقيق. والدفاعات ضد ذلك هي: عملاء مفتوحو المصدر (لكي يتمكن الباحثون من التحقق من كل إصدار بشكل مستقل — Bitwarden وProton Pass وKeePassXC)، وبرامج مكافآت اكتشاف الثغرات (يشغّل 1Password برنامج Bugcrowd؛ ويشغّل Bitwarden برنامج HackerOne)، وخيارات معمارية مثل Secret Key الخاص بـ 1Password (سرّ إضافي مخزَّن محلياً يعني أن اختراق الخادم وحده لا يمكنه فكّ تشفير الخزائن).
المصادر
تدقيقات Bitwarden: bitwarden.com/help/is-bitwarden-audited. تدقيقات 1Password الأمنية: 1password.com/security-audit. تدقيق Cure53 لـ Proton Pass: proton.me/blog/pass-launch. أمان NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. جرى الوصول إلى جميع الروابط بتاريخ 2026-04-30.