Linux 内核首次登顶 CVE 榜|2,308 个漏洞压过 Google,维护者说这是好事
一句话总结
Linux 内核以 2,308 个 CVE 首次登上 2026 上半年厂商漏洞榜第一,Google 1,752 居次;维护者 Greg KH 说这是透明度指标而非安全指标。
Linux 内核在 2026 年上半年以 2,308 个 CVE 首次登上各厂商漏洞榜第一,Google 1,752 个居次。统计由内核稳定分支长期维护者 Greg Kroah-Hartman 在 social.kernel.org 贴出,按厂商与单一产品分别排名。
转折在 2024 年 2 月。Linux 内核正式成为自己的 CVE Numbering Authority(CNA)后,改采「a bug is a bug」原则:任何 stable 分支上 backport 的修复都自动申请 CVE 编号,不再由发行商或研究者挑选「值得公开」的漏洞。切换后内核 CVE 数量几乎一夜之间放大 10 倍。
Greg KH 直接点出对比。多数商用厂商只公开内部认定「显著」的漏洞,数字看起来干净,实际修的 bug 数并不见得比较少。内核这边修完就发,「CVE 计数多寡不再是安全指标,而是透明度指标」。他顺口补一句要改自己过去演讲里「Linux 在 CVE 榜排名靠后」的说法——现在讲不通了。
站在系统管理员角度,这个转换有实务代价。过去内核发行公告一年几百条,现在光半年就 2,308 条,多数 CVSS 分数是 CNA 自动填的「N/A」或低分,需要下游发行商(Red Hat、SUSE、Debian)二次过滤判断实际影响。arXiv 一篇 2026 年 1 月的论文明确指出「内核 CVE 严重性标签几乎失去意义,只有 recency 有用」。
Greg KH 收尾一句给读 headline 的人:「Linux CVE 全球第一」看似坏消息,其实只代表一个开源项目把每个 bug 都公开登记,而闭源厂商继续挑着发。
via Linuxiac / PBX Science / LWN 内核 CVE 分配机制 / arXiv 2601.22196
转折在 2024 年 2 月。Linux 内核正式成为自己的 CVE Numbering Authority(CNA)后,改采「a bug is a bug」原则:任何 stable 分支上 backport 的修复都自动申请 CVE 编号,不再由发行商或研究者挑选「值得公开」的漏洞。切换后内核 CVE 数量几乎一夜之间放大 10 倍。
Greg KH 直接点出对比。多数商用厂商只公开内部认定「显著」的漏洞,数字看起来干净,实际修的 bug 数并不见得比较少。内核这边修完就发,「CVE 计数多寡不再是安全指标,而是透明度指标」。他顺口补一句要改自己过去演讲里「Linux 在 CVE 榜排名靠后」的说法——现在讲不通了。
站在系统管理员角度,这个转换有实务代价。过去内核发行公告一年几百条,现在光半年就 2,308 条,多数 CVSS 分数是 CNA 自动填的「N/A」或低分,需要下游发行商(Red Hat、SUSE、Debian)二次过滤判断实际影响。arXiv 一篇 2026 年 1 月的论文明确指出「内核 CVE 严重性标签几乎失去意义,只有 recency 有用」。
Greg KH 收尾一句给读 headline 的人:「Linux CVE 全球第一」看似坏消息,其实只代表一个开源项目把每个 bug 都公开登记,而闭源厂商继续挑着发。
via Linuxiac / PBX Science / LWN 内核 CVE 分配机制 / arXiv 2601.22196
