Linux стал лидером по числу уязвимостей CVE в первой половине 2026

2026-07-04 348 комментарии
Грег Кроа-Хартман опубликовал статистику CVE за первую половину 2026 года: ядро Linux заняло первое место с 2308 записями, опередив Google и Microsoft. По его словам, высокие цифры отражают не слабую защиту, а более полное раскрытие уязвимостей – коммерческие производители сообщают лишь о части найденных проблем

Ядро Linux заняло первое место по числу зарегистрированных уязвимостей (CVE) за первую половину 2026 года — 2308 записей, больше, чем у любого другого производителя в списке. Статистику опубликовал Грег Кроа-Хартман (Greg Kroah-Hartman), сопровождающий стабильной ветки ядра Linux. Высокие цифры он считает не признаком слабой защиты, а результатом более полного и ответственного раскрытия уязвимостей: коммерческие производители сообщают в систему CVE лишь о части найденных проблем, тогда как открытые проекты вынуждены регистрировать всё.

comss img 2026 07 04 095207

Статистика CVE по производителям за первую половину 2026 года

За первые шесть месяцев 2026 года список по производителям, отсортированный по убыванию числа CVE, выглядит так:

ПроизводительЧисло CVE
Linux2308
Google1752
n/a1308
Microsoft843
OpenClaw495
Oracle Corporation445
Adobe395
Red Hat340
Apache Software Foundation310
Apple284

CVE (Common Vulnerabilities and Exposures) — единый публичный реестр известных уязвимостей информационной безопасности. Каждой записи присваивается идентификатор вида CVE-год-номер с кратким описанием и ссылками на источники.

Записи с пометкой «n/a» — это уязвимости без указанного производителя. Кроа-Хартман отметил, что прежняя формулировка про второе место в его докладах устарела:

Мне придётся переделать доклад, где я говорю, что «мы на втором месте» — это давно уже не так. Надеюсь, остальные производители возьмутся за ум и начнут сообщать в систему обо всех CVE, а не только о тех, что сами сочтут нужным подать.

— Грег Кроа-Хартман, сопровождающий стабильной ветки ядра Linux

Отдельные продукты: Linux, Chrome и OpenClaw

Сравнение по производителям не всегда корректно: под одним именем вроде Google или Microsoft объединены десятки разных продуктов. Поэтому Кроа-Хартман привёл вторую таблицу — по отдельным продуктам:

ПродуктЧисло CVE
Linux2309
Chrome1584
n/a888
OpenClaw497
Windows 10 Version 1607284
Firefox255
Android153
AVideo141
Red Hat Enterprise Linux 10136
iOS and iPadOS124

Причина, по которой у открытых продуктов CVE больше, чем у коммерческих, кроется в методике раскрытия. По словам Кроа-Хартмана, коммерческие производители подают в CVE только те уязвимости, которые сами относят к высокой степени опасности, тогда как открытые проекты регистрируют всё: предсказать, как будет использован их код, они не могут.

Такие производители, как Apple, Microsoft и другие, сообщают в CVE только об уязвимостях, которые сами относят к «высокой» опасности. А проекты с открытым кодом вынуждены сообщать обо всём: мы не можем предписывать, как используется наш код, и не знаем, где он применяется.

— Грег Кроа-Хартман, сопровождающий стабильной ветки ядра Linux

Ядро Linux — не единый потребительский продукт с одним предсказуемым сценарием использования: оно работает на серверах, настольных компьютерах, смартфонах, встраиваемых устройствах, роутерах, промышленных системах и в облачной инфраструктуре. Уязвимость, малозначимая в одной конфигурации, в другой может оказаться критичной, поэтому заранее отнести проблему к «низкой» опасности невозможно.

OpenClaw в пятёрке лидеров

В обоих списках в первую пятёрку неожиданно попал OpenClaw — 495 CVE по производителям и 497 по продуктам, выше Oracle Corporation, Adobe и Red Hat.

OpenClaw — открытый самостоятельно размещаемый ИИ-агент (автономный помощник, выполняющий задачи на компьютере пользователя), появившийся в конце 2025 года. В первой половине 2026 года по проекту зарегистрировано аномально большое число уязвимостей.

В обсуждении под постом комментаторы сочли такие цифры для настолько молодого проекта тревожными, а для самого явления придумали слово «CVEmaxxing» — когда по продукту регистрируется целый поток уязвимостей. Сам Кроа-Хартман отозвался с иронией: показатели впечатляют, и хорошо, что проект документирует все свои проблемы, а не только избранные.

Что эти цифры значат для администраторов и пользователей

Само по себе лидерство Linux в статистике CVE не означает, что ядро защищено хуже других. Скорее наоборот: чем полнее регистрируются уязвимости, тем яснее картина для дистрибутивов, администраторов и конечных пользователей — видно, что уже исправлено, а что ещё требует внимания. Более прозрачный учёт делает цифры выше, но они полезнее, чем тихие пробелы в отчётности части коммерческих поставщиков.

Данные открыты для самостоятельной проверки: полный набор записей в формате JSON доступен в репозитории cvelistV5 проекта CVE — там можно сравнить показатели по производителю, продукту, регистрирующей организации (CNA) и другим полям.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте