Linux登顶2026 CVE漏洞榜:内核维护者称这是好事

2308个CVE,第一名

2026年上半年,Linux以2308个CVE漏洞数量位居所有厂商首位,领先Google(1752)、微软(843)和苹果(284)。这个“第一名”乍看令人担忧,但长期内核维护者Greg Kroah-Hartman认为,这恰恰说明Linux的漏洞报告体系更完整、更透明。

Linux CVE概念图

CVE数量背后的报告标准差异

Greg指出,苹果、微软等商业厂商往往只上报被归类为“高危”的漏洞,低风险或特定场景下的问题常常被过滤掉。而Linux作为开源项目,无法预知下游在什么场景使用内核代码,不得不报告所有已发现的问题。

这个差异的核心在于:同一个漏洞在不同场景下的风险等级完全不同。一段在云服务器上几乎无害的代码缺陷,放到医疗设备、汽车控制系统或工业SCADA系统中可能是致命的。Linux内核运行在数十亿台服务器、Android手机、路由器、智能家电、汽车信息娱乐系统和云基础设施上,覆盖的场景远超任何单一商业操作系统。

四家厂商对比

将四个厂商的CVE数量放在一起看,差异非常明显:

  • Linux:2308个(开源,全量上报)
  • Google:1752个(Android/Chrome等,较透明)
  • 微软:843个(Windows/Azure,选择性上报)
  • 苹果:284个(iOS/macOS,高度选择性)

苹果的284个CVE不代表iOS和macOS只有284个漏洞。更可能的情况是,苹果只上报了经内部评估为高危的问题。Greg希望其他厂商也能全面上报CVE,让下游开发者和用户能完整评估自身风险。

内核CVE流程改革

2024年初,Linux内核社区启动了CVE编号分配流程的改革,开始由内核团队自主分配CVE编号,而非完全依赖MITRE。这意味着内核开发者可以更高效地为每个已修复的漏洞分配编号,下游分发版和企业用户能更精确地追踪补丁状态。这一改革也是2026年CVE数量上升的原因之一。

在此之前,Linux内核的CVE编号主要由外部安全研究者通过MITRE申请,流程长、覆盖面有限。改革后,内核社区在每个稳定版本发布时都会为已修复的bug分配CVE编号,即使该bug的风险等级尚未被评估。Greg认为这种做法更负责任:让使用者自己判断风险,而不是由内核开发者替他们做决定。

已知漏洞比未知漏洞安全

在安全领域有一个基本共识:已知的漏洞远比未知的漏洞安全。因为已知的漏洞可以被评估、打补丁、做防护;未知的漏洞则可能在被攻击者利用之前一直处于暗处。

Linux的高CVE数量本质上反映的是一个快速发现、快速修复、全面公开的安全流程。每个CVE编号都对应着一个已经被修复的漏洞。相比之下,那些只上报高危漏洞的厂商,低风险漏洞可能长期存在于产品中,直到被外部研究者发现或被攻击者利用才被迫公开。

透明度的代价

当然,这种全面公开也有代价。CVE数量高会影响用户感知,让不熟悉安全领域的用户产生“Linux不安全”的错觉。企业合规团队可能需要处理更多的CVE编号,增加运维成本。但Greg的立场很明确:透明度带来的安全收益远大于公关成本。


来源The Linuxiac · 2026-07

相关推荐