Linux лидирует в рейтинге CVE за 2026 год, и, по мнению Грега К. Х., это хорошо
В первой половине 2026 года Linux лидировала по количеству уязвимостей CVE, и Грег Кроа-Хартман, похоже, не против этого. В посте на social.kernel.org давний разработчик ядра Linux поделился статистикой уязвимостей CVE за первые шесть месяцев года, отсортированной по поставщикам.
Согласно опубликованным им данным, на первом месте находится Linux с 2308 уязвимостями, за ней следуют Google с 1752, «н/д» с 1308, Microsoft с 843, OpenClaw с 495, Oracle Corporation с 445, Adobe с 395, Red Hat с 340, Apache Software Foundation с 310 и Apple с 284.
Понятно, что на первый взгляд это может показаться тревожным, особенно для тех, кто привык считать количество уязвимостей CVE приблизительным показателем «небезопасности» продукта или поставщика. Однако Грег К. Х. утверждает почти обратное: большое количество уязвимостей свидетельствует о более полной и ответственной работе по их выявлению.
«Мне нужно изменить формулировку, в которой я говорю, что мы на втором месте, потому что это уже далеко не так», — написал он, добавив, что надеется, что другие вендоры «возьмут себя в руки» и начнут должным образом сообщать в систему обо всех уязвимостях, а не только о тех, которые они решили отправить.
Дальнейшее обсуждение было еще более интересным. Когда возник вопрос о сравнении по поставщикам, Грег отметил, что такие компании, как Google и Microsoft, выпускают множество различных программных продуктов, поэтому сравнение на уровне поставщиков не всегда идеально.
Затем он опубликовал второй список, отсортированный по продуктам. В нем на первом месте по-прежнему Linux с 2309 уязвимостями, за ним следуют Chrome с 1584 уязвимостями, «н/д» с 888 уязвимостями, OpenClaw с 497 уязвимостями, Windows 10 версии 1607 с 284 уязвимостями, Firefox с 255 уязвимостями, Android с 153 уязвимостями, AVideo с 141 уязвимостью, Red Hat Enterprise Linux 10 с 136 уязвимостями и iOS и iPadOS с 124 уязвимостями.
Опять же, объяснение важнее самого рейтинга. Грег сказал, что такие компании, как Apple, Microsoft и другие, сообщают в CVE только о тех уязвимостях, которые они классифицируют как «серьезные», в то время как проекты с открытым исходным кодом часто вынуждены сообщать обо всех уязвимостях, поскольку не могут знать, как используется их код.
И это ключевой момент для пользователей Linux. Ядро Linux — это не отдельный потребительский продукт, используемый предсказуемым образом. Оно работает на миллиардах серверов, настольных компьютеров, телефонов, встроенных устройств, маршрутизаторов, промышленных систем, в облачной инфраструктуре и бесчисленном множестве специализированных сред. Ошибка, которая в одной системе не имеет большого значения, может оказаться критичной в другой.
Таким образом, вместо того чтобы воспринимать эту цифру как простой заголовок в духе «у Linux больше проблем с безопасностью», лучше рассматривать ее как отражение все более систематической работы проекта ядра над устранением уязвимостей. Чем больше отчетов, тем хуже выглядят цифры, но это также дает дистрибутивам, поставщикам, администраторам и пользователям более четкое представление о том, что уже исправлено, а что еще требует внимания.
Для тех, кто хочет самостоятельно проверить данные, есть публичный репозиторий cvelistV5 проекта CVE, в котором информация представлена в виде JSON с возможностью поиска. Любой пользователь может выполнять собственные запросы и сравнивать результаты по поставщикам, продуктам, CNA и другим полям.
Подводя итог, скажу просто: лидерство Linux в рейтингах CVE — это не обязательно плохая новость. Просто эта операционная система всегда была более прозрачной, чем многие коммерческие продукты. И именно из-за этой прозрачности Linux может выглядеть более уязвимым в базах данных. Однако в сфере безопасности неудобные цифры зачастую полезнее, чем замалчиваемые проблемы.
Редактор: AndreyEx
