2026 első felében a Linux vezeti a CVE-listákat, és Greg Kroah-Hartman szerint ez teljesen rendben van így. A social.kernel.org-on közzétett bejegyzésében a régi Linux kernel karbantartó a CVE-problémák statisztikáit osztotta meg az év első hat hónapjáról, gyártó szerint rendezve.
A közzétett adatok szerint a Linux áll az élen 2308 CVE-vel, utána jön a Google 1752-vel, az „n/a” 1308-cal, a Microsoft 843-mal, az OpenClaw 495-tel, az Oracle Corporation 445-tel, az Adobe 395-tel, a Red Hat 340-nel, az Apache Software Foundation 310-zel, az Apple pedig 284-gyel.
Első ránézésre ez érthetően riasztónak tűnhet, főleg azoknak, akik a CVE-darabszámot nagyjából úgy értelmezik, mint egy termék vagy gyártó „bizonytalanságának” mérőszámát. Greg KH mondanivalója viszont szinte az ellenkezője: a magas számot a teljesebb és felelősebb sebezhetőség-jelentés jelének tekinti.
„Változtatnom kell az előadásomon, ahol azt mondom, hogy ‘mi vagyunk a 2. helyen’, mert ez már messze nem igaz” – írta, majd hozzátette, reméli, hogy más gyártók is „összeszedik magukat”, és elkezdenek minden CVE-t rendesen bejelenteni a rendszerbe, nem csak azokat, amelyeket épp ők akarnak beküldeni.
A folytatásként kibontakozó beszélgetés még érdekesebb. Amikor megkérdőjelezték a gyártó szerinti összehasonlítást, Greg rámutatott, hogy a Google vagy a Microsoft sok különböző szoftverterméket fed le, ezért a gyártói szintű összevetés nem mindig ideális.
Ezután megosztott egy második listát, ezúttal termék szerint rendezve. Itt is a Linux vezet 2309 CVE-vel, utána a Chrome következik 1584-gyel, az „n/a” 888-cal, az OpenClaw 497-tel, a Windows 10 Version 1607 284-gyel, a Firefox 255-tel, az Android 153-mal, az AVideo 141-gyel, a Red Hat Enterprise Linux 10 136-tal, az iOS és az iPadOS pedig 124-gyel.
Megint csak a magyarázat fontosabb, mint a puszta rangsor. Greg szerint olyan gyártók, mint az Apple, a Microsoft és mások, jellemzően csak az általuk „magas” besorolásúnak minősített problémákat jelentik be CVE-ként, míg a nyílt forráskódú projekteknek sokszor mindent jelenteniük kell, mert nem tudhatják, a kódjukat pontosan hogyan használják tovább.
Ez a Linux-felhasználók számára kulcskérdés. A Linux kernel nem egyetlen, jól körülhatárolt módon használt fogyasztói termék. Több milliárd szerveren, asztali gépen, telefonon, beágyazott eszközön, routeren, ipari rendszeren, felhős infrastruktúrán és számtalan speciális környezetben fut. Egy hiba, amely az egyik felállásban alacsony kockázatúnak tűnik, egy másikban sokkal komolyabb lehet.
Érdemes ezért a számokat nem úgy olvasni, mint egy egyszerű „a Linuxnak több biztonsági problémája van” típusú címlapot, hanem inkább a kernel projekt egyre rendszerezettebb CVE-kezelésének tükreként. A több bejelentés rontja a statisztikákat, viszont a disztribúciók, gyártók, rendszergazdák és felhasználók sokkal tisztábban látják, mit javítottak már, és mi igényel még figyelmet.
Akik maguk szeretnék ellenőrizni az adatokat, itt találják a CVE Project nyilvános cvelistV5 tárolóját. A tartalom kereshető JSON formában érhető el, és bárki lefuttathatja a saját lekérdezéseit, gyártó, termék, CNA vagy más mezők szerint összehasonlítva az eredményeket.
Összefoglalva, röviden: az, hogy a Linux vezeti a CVE-listákat, önmagában nem rossz hír. Sokkal inkább azt mutatja, hogy a Linux jóval átláthatóbb, mint sok kereskedelmi gyártó. Ez az átláthatóság zajosabbá teszi a Linuxot a sebezhetőségi adatbázisokban. A biztonság szempontjából viszont a kellemetlen számok gyakran hasznosabbak, mint a csendes hiány.

