да, уже давно больше - если мерять в килобайтах исходников.
Но самое главное - гораздо сложнее. 70% кода ржавого линуксного ведра представляют собой драйвера никому нахрен не сдавшихся экзотических устройств, написанные методом cut-&paste с заменой пары строк, половина из которых давно не работает, потому что тот, кто их для себя любимого делал - давно поменял железки, а проблемы пользователя "у меня не воспроизводится".
Поскольку кернельный oops в таком драйвере обычно вообще не считают за security проблему, на них никто и внимания не обращает, кроме уж совсем вопиющих случаев, когда это оказывается драйвер tty.
А собственно ядро - штука простая, по большей части, причем эти части довольно компактны и изолированны, ревью делать легко.

> Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!

поскольку практически весь функционал того же mysql "remote" (ибо не-remote у нас уже есть прекрасно работающий sqlite, второй нафиг не сдался), удивляться следует скорее 25й локальной.
На деле это, чаще всего, не ужаснее oops в ненужном драйвере - в большинстве случаев удаленный доступ и так предоставлен trusted приложению, которое вполне в рамках допустимых действий над своими собственными данными может причинить гораздо больший ущерб.

Тех исключительных случаев, когда ущерб может быть нанесен без авторизации и серьезный - не настолько больше, чем, скажем, серьезных проблем в линуксном ipv6 стеке того же уровня опасности.

"Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!"
Если бы в разработку ядра вбухивали такое же колличество бабла сколько вбухивают в Java то и в нем бы находили проблемные места с такой же скоростью, а не раз в 100500 лет.