Linux内核在成为CVE编号机构(CNA)后,其漏洞报告数量急剧上升,这反而让本已紧张的安全团队应接不暇。这种信息过载可能导致真正的关键内核漏洞被忽视,直接威胁到整个系统的信任根基。现有的CVE系统在应对如此复杂的内核安全问题时,其设计缺陷暴露无遗。
译自:Linux kernel scale is swamping an already-flawed CVE system[1]
作者:Jed Salazar
Linux内核开发者面临的挑战,是其他大多数开源社区维护者难以想象的。开发和维护这个世界上最流行操作系统的功能已经足够艰巨,同时他们还必须恪守“永不破坏用户空间”的铁律,并为运行在Linux上的数百万设备和用户保障向后兼容与系统稳定。
大约一年前,Linux内核社区决定成为CNA,这在当时被广泛视为一种进步。作为支撑全球基础设施的最大平台,能够与安全行业事实上的漏洞披露标准接轨,似乎是顺理成章的一步。透明度向来是Linux内核社区引以为傲的优势,成为CNA听起来像是一场双赢。
CVE信息洪流中最“吵”的新成员
然而,Linux内核并非一个普通的软件依赖。它是 “那种” 依赖[2]。每个容器、每个命名空间、每个策略引擎最终都运行在它之上。历史上,严重的内核漏洞较为罕见,披露过程审慎,并且会被整个行业严肃对待。当一个内核级别的bug足够重要时,你一定能感受到它的分量。
在成为CNA后,内核社区做出了一个有意为之的决定:广泛地为各种问题分配CVE编号,其中许多问题在过去可能只存在于开发邮件列表的讨论中。这更像是对“要求为所有潜在问题提供标识符”的CVE模型的一种妥协式遵从。结果是,如今内核问题开始与用户空间库和应用程序的漏洞,一同出现在相同的漏洞订阅源、安全仪表盘和扫描报告里。
现在,Linux内核成了已经泛滥成灾的漏洞数据流中,声音最“响亮”的贡献者。
思科的Jerry Gamblin近期发布了2025年CVE数据回顾[3]。数据显示,2025年共报告了48,185个CVE。Linux内核首次在数量上登顶,成为被报告漏洞最多的技术。
在这些海量的CVE中,一部分内核问题可能是仅影响特定代码路径的逻辑错误;另一些可能只在特定配置下才会显现;还有一些甚至只有理论上的影响。其中,真正能在生产环境中被利用的问题只占很小一部分。然而,无论问题的性质如何,也无论其实际可利用性高低,CVE模型都把它们当作同等级别的“安全事件”来处理。
安全专业人员正在被训练去“分类”和“忽略”
安全团队的时间和认知带宽并非无限。当漏洞披露达到如此惊人的数量级时,“分类处理”就成了默认的操作模式。警报被机械地确认,风险被习惯性地“常态化”。
这种情况正在导致整个行业养成忽略漏洞的习惯。当所有事情看起来都万分紧急时,那些真正威胁系统信任根基的警报反而最容易被错过。内核CVE尤其容易遭受这种命运——并非因为它们不重要,恰恰因为它们位于团队用来隔离故障的所有其他安全控制措施之下。很多漏洞需要特定的配置或访问模式才能触发,有些是纯理论性的,另一些才是真实可被利用的。但谁还有时间和精力去仔细辨别这些区别呢?
“当所有事情看起来都很紧急时,真正威胁系统信任根的警报反而会被错过。”
用海量的披露信息淹没整个系统,并不会自动带来更好的安全结果。它更可能催生的是麻木与自满。
我们一直在回避的核心边界问题
内核不仅仅是另一个需要打补丁的组件。在云原生环境中,它几乎是所有安全控制的最终执行层。命名空间[5]、cgroups、seccomp、LSM以及基于eBPF的工具[6],所有这些技术都默认内核本身是可信的。一旦这个基本假设被打破,建立在其上的一切安全措施都将形同虚设。如果这一层的关键漏洞被忽视,没有任何更高层的控制手段能够补救。
但Linux的执行模型创造了一种分离的假象,它并没有提供大多数人认为容器所具备的“硬”边界。容器让人感觉是隔离的,因为它们隐藏了资源,但并未强制执行真正的分离。容器本质上仍然只是一个进程。所谓的边界是通过共享内核状态[7]实现的。当这个共享状态被破坏时,所有的隔离都将彻底崩塌。
然而,当下的安全对话很少深入探讨这一根本问题。讨论的焦点往往停留在漏洞数量、严重性评分和合规性检查上,而不是去追问:内核级别的故障是否真的能被有效遏制?
忽视内核安全漏洞绝非胜利
Linux内核社区值得巨大的赞誉。在如此庞大的规模和悠久的历史背景下,很少有项目能像Linux一样,在几十年间保持如此高的稳定性和安全性。决定成为CNA,本身也是一项充满善意的安全努力。
“当内核每周产生几十个 CVE 时,大多数团队没有现实的方法来理解哪些威胁到他们的隔离模型,哪些没有。”
但一年时间过去,是时候冷静地问一问:行业究竟从这场信息洪流中获得了什么实际价值?当内核每周产出几十个CVE时,绝大多数团队根本没有现实可行的方法去分辨,哪些漏洞会威胁到他们的容器隔离模型,而哪些不会。CVE在编目已知缺陷方面或许有效,但它绝非一个用于推理系统信任根基中未知故障模式的合适接口。
真正的危险在于,那些最重要的漏洞,正在因为这个已经教会我们“停止倾听”的体系,而被悄无声息地忽略。对于依赖容器技术栈的开发者而言,持续关注内核安全的根本性讨论,远比被动接收CVE警报更为重要。我们可以在像云栈社区这样的技术论坛中,找到更多关于系统底层安全与架构设计的深度交流。
引用链接
[1] Linux kernel scale is swamping an already-flawed CVE system: https://thenewstack.io/linux-kernel-cve-system/
[2] 这种依赖: https://edera.dev/containers
[3] 2025 年 CVE 数据回顾: https://jerrygamblin.com/2026/01/01/2025-cve-data-review/?ref=thestack.technology
[4] 内核漏洞: https://edera.dev/stories/cve-2026-24834-when-trusting-the-guest-goes-wrong
[5] 命名空间: https://edera.dev/stories/beyond-namespaces-real-isolation-for-kubernetes-security
[6] 基于 eBPF 的: https://docs.edera.dev/guides/ebpf/using-ebpf/
[7] 共享内核状态: https://edera.dev/stories/the-shared-kernel-is-the-real-problem-in-container-security
发表于 3 小时前
|
查看: 1|
回复: 0
