Linux登顶2026 CVE漏洞榜:内核维护者称这是好事
2308个CVE,第一名
2026年上半年,Linux以2308个CVE漏洞数量位居所有厂商首位,领先Google(1752)、微软(843)和苹果(284)。这个“第一名”乍看令人担忧,但长期内核维护者Greg Kroah-Hartman认为,这恰恰说明Linux的漏洞报告体系更完整、更透明。

CVE数量背后的报告标准差异
Greg指出,苹果、微软等商业厂商往往只上报被归类为“高危”的漏洞,低风险或特定场景下的问题常常被过滤掉。而Linux作为开源项目,无法预知下游在什么场景使用内核代码,不得不报告所有已发现的问题。
这个差异的核心在于:同一个漏洞在不同场景下的风险等级完全不同。一段在云服务器上几乎无害的代码缺陷,放到医疗设备、汽车控制系统或工业SCADA系统中可能是致命的。Linux内核运行在数十亿台服务器、Android手机、路由器、智能家电、汽车信息娱乐系统和云基础设施上,覆盖的场景远超任何单一商业操作系统。
四家厂商对比
将四个厂商的CVE数量放在一起看,差异非常明显:
- Linux:2308个(开源,全量上报)
- Google:1752个(Android/Chrome等,较透明)
- 微软:843个(Windows/Azure,选择性上报)
- 苹果:284个(iOS/macOS,高度选择性)
苹果的284个CVE不代表iOS和macOS只有284个漏洞。更可能的情况是,苹果只上报了经内部评估为高危的问题。Greg希望其他厂商也能全面上报CVE,让下游开发者和用户能完整评估自身风险。
内核CVE流程改革
2024年初,Linux内核社区启动了CVE编号分配流程的改革,开始由内核团队自主分配CVE编号,而非完全依赖MITRE。这意味着内核开发者可以更高效地为每个已修复的漏洞分配编号,下游分发版和企业用户能更精确地追踪补丁状态。这一改革也是2026年CVE数量上升的原因之一。
在此之前,Linux内核的CVE编号主要由外部安全研究者通过MITRE申请,流程长、覆盖面有限。改革后,内核社区在每个稳定版本发布时都会为已修复的bug分配CVE编号,即使该bug的风险等级尚未被评估。Greg认为这种做法更负责任:让使用者自己判断风险,而不是由内核开发者替他们做决定。
已知漏洞比未知漏洞安全
在安全领域有一个基本共识:已知的漏洞远比未知的漏洞安全。因为已知的漏洞可以被评估、打补丁、做防护;未知的漏洞则可能在被攻击者利用之前一直处于暗处。
Linux的高CVE数量本质上反映的是一个快速发现、快速修复、全面公开的安全流程。每个CVE编号都对应着一个已经被修复的漏洞。相比之下,那些只上报高危漏洞的厂商,低风险漏洞可能长期存在于产品中,直到被外部研究者发现或被攻击者利用才被迫公开。
透明度的代价
当然,这种全面公开也有代价。CVE数量高会影响用户感知,让不熟悉安全领域的用户产生“Linux不安全”的错觉。企业合规团队可能需要处理更多的CVE编号,增加运维成本。但Greg的立场很明确:透明度带来的安全收益远大于公关成本。
来源:The Linuxiac · 2026-07
- Hugging Face 最大开源仓库快被 AI 垃圾 PR 淹没了3/19/2026
- 字节跳动开源 Lance:3B 参数统一图像视频理解生成与编辑5/22/2026
- 八家科技巨头签署反诈骗协议,平台反诈开始从单案协作走向跨平台联防3/16/2026
- macOS 里藏着一颗 49.7 天的定时炸弹:TCP 网络会静默失效4/9/2026
- GrapheneOS 警告起诉:安卓统一认证标准背后的生态之争3/18/2026
- 有人在 GitHub 上开源了一个「前任 Skill」3/31/2026
- Google 把 Gemini 接进暗网情报,安全团队开始追求“少噪音”3/24/2026
- Anthropic 的终极安全模型 Mythos,上线当天就被未授权访问了4/23/2026
- OpenAI 将推出网络安全专用模型 GPT-5.5-Cyber,仅限受信任防御者使用5/1/2026
- Microsoft Edge 被曝会话期间明文保存所有密码于内存5/5/2026
- 美国车载酒精检测设备商遭网络攻击,多地司机车辆无法启动3/21/2026
- FCC封杀外国造新型路由器,美国家用网络市场开始按产地重写准入3/24/2026
- Vercel 确认安全事件,暗网卖家声称掌握核心访问权限4/19/2026
- 7-Zip 高危漏洞被公开:扩展名无关的 RCE 攻击链5/27/2026
- Cloudflare 把 archive.today 标成恶意域名,争议已走到 DNS 层3/23/2026
- 360Claw 相关泛域名证书被曝连同私钥流出,这件事真正该盯的是吊销与轮换3/16/2026
- Anthropic 泄露草案暴露新模型 Claude Mythos:Opus 之上的新层级与网络安全风险3/27/2026
- 伊朗黑客入侵 FBI 局长私人邮箱:执法者自身的安全困局3/28/2026
- PyPI 包 lightning 遭供应链攻击,800 万月下载量的 ML 框架暴露开发者凭证5/2/2026
- 天涯论坛1.27亿用户记录疑遭泄露:暗网威胁者声称重启日拖库6/4/2026
- GitHub Issues 遭遇大规模垃圾广告攻击,开源社区成黑产引流池3/29/2026
- OpenAI 推出 GPT-5.4-Cyber 网络安全专版,向认证防御者分级开放4/15/2026
- Anthropic 获美国政府批准,恢复 Mythos 5 模型对关键基础设施组织的部署6/27/2026
- 开源项目分享:SwiftMTP——macOS 平台的安卓文件传输工具4/10/2026
- 九年 Linux 高危漏洞被披露:CVE-2026-31431 "Copy Fail" 允许本地提权至 root4/30/2026
- Anthropic 发起 Project Glasswing,联合多家机构用 AI 排查关键软件漏洞4/8/2026
- Cherry Studio 被指违规遥测,禁用分析功能后仍连接服务器4/19/2026
- 百度开源 8B 文生图模型 ERNIE-Image:文字渲染达 SOTA,消费级显卡即可运行4/15/2026
- 谷歌搜索将打击"后退按钮劫持",违规站点面临降权4/14/2026
- 英伟达发布全球首个开源量子 AI 模型家族 Ising,用 AI 打造量子计算机的「操作系统」4/15/2026