YYaaa News

Linux 首次登頂 CVE 榜|2,308 個漏洞壓過 Google,維護者說這是好事

一句話總結

Linux 內核以 2,308 個 CVE 首次登上 2026 上半年廠商漏洞榜第一,Google 1,752 居次;維護者 Greg KH 稱這是透明度指標而非安全指標。

Linux 首次登頂 CVE 榜|2,308 個漏洞壓過 Google,維護者說這是好事

Linux 內核在 2026 年上半年以 2,308 個 CVE 首次登上各廠商漏洞榜第一,Google 1,752 個居次。統計由內核穩定分支長期維護者 Greg Kroah-Hartman 在 social.kernel.org 貼出,按廠商與單一產品分別排名。

轉折在 2024 年 2 月。Linux 內核正式成為自己的 CVE Numbering Authority(CNA)後,改採「a bug is a bug」原則:任何 stable 分支上 backport 的修復都自動申請 CVE 編號,不再由發行商或研究者挑選「值得公開」的漏洞。切換後內核 CVE 數量幾乎一夜之間放大 10 倍

Greg KH 直接點出對比。多數商用廠商只公開內部認定「顯著」的漏洞,數字看起來乾淨,實際修的 bug 數並不見得比較少。內核這邊修完就發,「CVE 計數多寡不再是安全指標,而是透明度指標」。他順口補一句要改自己過去演講裡「Linux 在 CVE 榜排名靠後」的說法——現在講不通了。

站在系統管理員角度,這個轉換有實務代價。過去內核發行公告一年幾百條,現在光半年就 2,308 條,多數 CVSS 分數是 CNA 自動填的「N/A」或低分,需要下游發行商(Red Hat、SUSE、Debian)二次過濾判斷實際影響。arXiv 一篇 2026 年 1 月的論文明確指出「內核 CVE 嚴重性標籤幾乎失去意義,只有 recency 有用」。

Greg KH 收尾一句給讀 headline 的人:「Linux CVE 全球第一」看似壞消息,其實只代表一個開源項目把每個 bug 都公開登記,而閉源廠商繼續挑著發。

via Linuxiac / PBX Science / LWN 內核 CVE 分配機制 / arXiv 2601.22196
Linux 首次登頂 CVE 榜|2,308 個漏洞壓過 Google,維護者說這是好事