Il kernel Linux in testa alle classifiche CVE del 2026: secondo Greg Kroah-Hartman è un segno di trasparenza e maturità

Nel primo semestre del 2026 il kernel Linux ha guidato le classifiche delle CVE (Common Vulnerabilities and Exposures, ossia Vulnerabilità ed Esposizioni Comuni, un sistema standardizzato per identificare e catalogare le vulnerabilità di sicurezza). Lo ha sottolineato Greg Kroah-Hartman, storico manutentore del kernel Linux, che ha commentato pubblicamente i dati pubblicati in un post su social.kernel.org. Secondo le statistiche, il kernel Linux risulta al primo posto per numero di vulnerabilità segnalate, superando fornitori come Google, Microsoft, Oracle e Apple. A prima vista, questo dato potrebbe sembrare negativo. In realtà, come spiega Kroah-Hartman, rappresenta un segnale di trasparenza, responsabilità e maturità del progetto, elementi fondamentali per la sicurezza delle distribuzioni GNU/Linux.
I numeri delle CVE nel primo semestre 2026
Greg Kroah-Hartman ha condiviso le statistiche CVE ordinate per fornitore. Dai dati emerge che:
- Il kernel Linux risulta in testa con 2.308 CVE
- Google segue con 1.752 CVE
- La voce n/a (non applicabile) conta 1.308 CVE
- Microsoft registra 843 CVE
- OpenClaw totalizza 495 CVE
- Oracle Corporation ne presenta 445 CVE
- Adobe arriva a 395 CVE
- Red Hat si attesta a 340 CVE
- La Apache Software Foundation ne riporta 310 CVE
- Apple con 284 CVE
Questi numeri, se interpretati superficialmente, potrebbero suggerire che il kernel Linux sia più vulnerabile rispetto ad altri fornitori. Tuttavia, questa conclusione sarebbe fuorviante. Il conteggio delle CVE non misura la qualità o la sicurezza di un prodotto, ma la quantità di vulnerabilità identificate, analizzate e correttamente segnalate.
Perché più CVE non significa meno sicurezza
Secondo Kroah-Hartman, l’elevato numero di CVE attribuite al kernel Linux è un indicatore positivo. Significa che il progetto adotta una politica di segnalazione completa, senza filtrare o nascondere le vulnerabilità meno gravi. Questo approccio è tipico del software libero, dove la comunità e i manutentori operano in un ecosistema aperto e collaborativo. Al contrario, fornitori commerciali come Apple o Microsoft tendono a segnalare al sistema CVE solo le vulnerabilità classificate come ad alta gravità, riducendo artificialmente il numero totale di CVE associate ai loro prodotti.
Il kernel Linux non è un prodotto monolitico destinato a un singolo dispositivo. Viene utilizzato in miliardi di sistemi: server, desktop, smartphone, dispositivi embedded, router, infrastrutture cloud, sistemi industriali e ambienti specializzati. Una vulnerabilità considerata marginale in un contesto può diventare critica in un altro. Per questo motivo, il progetto del kernel Linux adotta una politica di segnalazione estesa, che tiene conto della varietà dei contesti d’uso. Questo approccio aumenta il numero di CVE, ma garantisce una maggiore sicurezza complessiva.
Confronto per prodotto: Linux ancora in cima
Per rispondere alle critiche sul confronto basato sui fornitori, Kroah-Hartman ha pubblicato anche una lista ordinata per prodotto. Dai dati emerge che:
- kernel Linux: 2.309 CVE
- Chrome: 1.584 CVE
- n/a (non applicabile): 888 CVE
- OpenClaw: 497 CVE (assistente AI locale)
- Windows 10 versione 1607: 284 CVE
- Firefox: 255 CVE
- Android: 153 CVE
- AVideo: 141 CVE
- Red Hat Enterprise Linux 10 (una distribuzione GNU/Linux): 136 CVE
- iOS/iPadOS: 124 CVE
Questi dati confermano che il kernel Linux è uno dei progetti software più analizzati e monitorati al mondo. La sua presenza in cima alla classifica non indica insicurezza, ma attenzione costante, monitoraggio continuo e responsabilità nella gestione delle vulnerabilità.
Come funziona la segnalazione delle CVE
Le CVE vengono gestite da una rete di organizzazioni chiamate CNA (CVE Numbering Authority), responsabili dell’assegnazione dei numeri CVE e della verifica delle segnalazioni. I progetti open source, come il kernel Linux, collaborano attivamente con le CNA per garantire che ogni vulnerabilità venga catalogata correttamente.
La differenza tra il progetto del kernel Linux e molti fornitori commerciali risiede nel metodo di segnalazione. Il kernel Linux segnala tutte le vulnerabilità, indipendentemente dalla gravità. Molti fornitori commerciali segnalano solo quelle che ritengono rilevanti per il pubblico o per i loro clienti. Questo crea una distorsione nei numeri, che non riflettono la reale sicurezza dei prodotti.
Chi desidera analizzare direttamente le CVE può consultare il repository software pubblico cvelistV5, che contiene tutte le segnalazioni in formato JSON (JavaScript Object Notation, un formato standard per lo scambio di dati strutturati). Il repository software permette di effettuare ricerche per fornitore, prodotto, CNA, anno e gravità. Questo strumento è fondamentale per chi lavora con le distribuzioni GNU/Linux, perché consente di verificare rapidamente lo stato delle vulnerabilità e monitorare l’evoluzione della sicurezza nel tempo.
Conclusioni
Quindi, il fatto che il kernel Linux sia in testa alle classifiche CVE del 2026 non è un segnale di insicurezza. È invece la dimostrazione della trasparenza, della responsabilità e della maturità del progetto. Un numero elevato di CVE indica che il kernel Linux viene analizzato con attenzione, che le vulnerabilità vengono segnalate tempestivamente e che la comunità open source continua a investire nella sicurezza. Nel mondo della sicurezza informatica, i numeri che sembrano meno rassicuranti sono spesso quelli più utili. La comunità del software libero dimostra ancora una volta di essere un punto di riferimento per la gestione responsabile delle vulnerabilità e per la costruzione di un ecosistema sicuro e affidabile.
Fonte: https://social.kernel.org/notice/B7xGvLaKMCdaPx4ubw
Fonte: https://social.kernel.org/notice/B7xMwNfIhwrusrHSKm
Fonte: https://linuxiac.com/linux-tops-2026-cve-charts/
Se vuoi sostenermi, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che ho nel mio sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul mio negozio online, quelle mancanti possono essere comunque richieste.
Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
























