Linux CVE: Лідер у звітуванні CVE в 2026 році

Linux лідирує у звітуванні CVE в 2026 році

На даний момент Linux займає перше місце у графіках CVE за першу половину 2026 року, а Грег Кроах-Гартман задоволений цим фактом. У своєму пості, він поділився статистикою CVE за перші шість місяців року, відсортованою за постачальниками.

Статистика CVE: Linux на першій позиції

Згідно з цифрами, які він опублікував, Linux стоїть на чолі з 2,308 CVE, за ним слідує Google з 1,752, “n/a” з 1,308, Microsoft з 843, OpenClaw з 495, Oracle Corporation з 445, Adobe з 395, Red Hat з 340, Apache Software Foundation з 310 і Apple з 284.

Linux Is Now #1 in CVE Reporting
Linux наразі №1 у звітуванні CVE

Висновки з цифр CVE

Це може звучати тривожно на перший погляд, особливо для тих, хто звик оцінювати продукти за кількістю CVE. Однак, точка зору Грега KH є майже протилежною: висока кількість CVE подається як ознака більш повної та відповідальної звітності про вразливості.

Грег зазначив, що йому потрібно змінити свою презентацію, де він казав, що “ми на другому місці”, оскільки це вже не так. Він сподівається, що інші постачальники “візьмуться до роботи” і почнуть правильно звітувати про всі CVE у системі, а не лише про ті, які вони вирішили подати.

Обговорення та порівняння постачальників

Подальша дискусія є ще цікавішою. Коли порівняння за постачальниками було оскаржено, Грег відзначив, що компанії, такі як Google і Microsoft, охоплюють багато різних програмних продуктів. Тому порівняння на рівні постачальників не завжди є ідеальним.

Він поділився другим списком, в якому Linux все ще на першій позиції з 2,309 CVE. За ним ідуть Chrome з 1,584, “n/a” з 888, OpenClaw з 497, Windows 10 версії 1607 з 284, Firefox з 255, Android з 153, AVideo з 141, Red Hat Enterprise Linux 10 з 136, а також iOS та iPadOS з 124.

Знову ж таки, пояснення важливіше, ніж просто ранжування. Грег зазначив, що постачальники, такі як Apple і Microsoft, звітують лише про проблеми, які класифікують як “високі” для CVE. Тим часом, проекти з відкритим кодом часто мають звітувати про все, оскільки вони не можуть знати, як їх код використовується далі.

Значення для користувачів Linux

І це ключовий момент для користувачів Linux. Ядро Linux не є єдиним споживчим продуктом, який використовується в одному передбачуваному способі. Воно працює на мільярдах серверів, комп’ютерів, телефонів, вбудованих пристроїв, маршрутизаторів, промислових систем та хмарної інфраструктури.

Тому, замість того щоб розглядати цю кількість CVE як просту новину “Linux має більше проблем з безпекою”, краще розуміти це як відображення все більш систематичного підходу до обробки CVE в проекті ядра. Більш активне звітування може зробити цифри менш привабливими, але також надає дистрибуціям, постачальникам, адміністраторам і користувачам чітке уявлення про те, що було виправлено, а що ще потребує уваги.

На завершення, можна сказати, що лідерство Linux у графіках CVE не є поганою новиною. Це просто свідчить про більшу прозорість порівняно з багатьма комерційними постачальниками. І ця прозорість може зробити Linux менш привабливим в інформаційних базах вразливостей. Проте, у сфері безпеки неприємні цифри часто є більш корисними, ніж тихі прогалини.

Для детального ознайомлення з даними, можна перевірити публічний репозиторій CVE Project, який надає інформацію у форматах JSON для пошуку.