Ha nem lesz biztonsági javításnak minősítve, akkor nem készül róla CVE bejegyzés sem. :)
Eltitkolás pedig bár mennyire furcsának is tűnik open source esetében is működik. Egyszerűen arról van szó, hogy a fejlesztők direkt (vagy néha akár nem is készakarva) úgy commitolnak egy bugfixet, hogy nem írják oda mennyire súlyos hibát is javít (sok esetben talán ők sincsenek ezzel teljesen tisztában). Ha pedig nekik sem mindig világos, hogy mennyire kihasználható egy adott hibából eredő sebezhetőség, akkor gondolhatod, hogy másnak sem lesz annyira egyszerű eldönteni, aki esetleg figyelemmel is próbálja követni a fejlesztést. A commitok folyamatos figyelése egyébként szintén nem triviális feladat, mivel egy-egy 2.6-os verzió közötti diff sok esetben akár 30 megás is szokott lenni. Senki nem tud átnézni ekkora kódmennyiséget ennyi idő alatt. Jó példa erre ez a remek Copyright sor a cifs_unicode.h-ban, amely régebben került véletlenül módosításra egy commit során és senki sem vette észre. Pedig gondolhatod, hogy egy ilyet könyebb észrevenni, mint egy security bugot... ;)