Une nouvelle analyse de 20 ans de développement du noyau Linux révèle que les bugs restent souvent indétectés pendant des années, avec une durée de vie moyenne de 2,1 ans avant leur découverte. La recherche, menée par Jenny Guanni Qu de Pebblebed, met en lumière les variations entre les composants du noyau et la prévalence des correctifs incomplets. Certaines vulnérabilités ont persisté plus de deux décennies.
Le noyau Linux, pierre angulaire des systèmes d'exploitation open source, n'est pas immunisé contre les bugs persistants, selon une étude détaillée publiée le 8 janvier 2026. Jenny Guanni Qu, chercheuse chez Pebblebed, a examiné 125 183 bugs couvrant d'avril 2005 à janvier 2026, en utilisant les données de la version 6.19-rc3 du noyau Linux. Sa méthodologie s'appuyait sur l'étiquette « Fixes: » dans les commits git, qui relie les correctifs aux commits originaux les introduisant. Un outil personnalisé a extrait ces étiquettes, calculant les durées de vie des bugs selon les dates des commits. Parmi les enregistrements, 119 449 étaient des correctifs uniques de 9 159 auteurs, avec seulement 158 IDs CVE attribués. Les principales conclusions incluent un délai moyen de détection des bugs de 2,1 ans. Le problème indétecté le plus long — un débordement de tampon dans le code réseau — a duré 20,7 ans. Les variations par composant sont frappantes : les pilotes de bus CAN en moyenne 4,2 ans, le réseau SCTP 4,0 ans, tandis que les bugs GPU ont été détectés en 1,4 ans et les bugs BPF en 1,1 ans. L'étude note également des correctifs incomplets fréquents. Par exemple, un patch de validation de champ « set » de netfilter de 2024 a été contourné un an plus tard par un chercheur en sécurité. Cela souligne les défis persistants malgré les progrès, comme le premier CVE Rust récent parmi 159 CVEs de code C le même jour. Qu a en outre développé VulnBERT, un modèle d'IA pour prédire les commits introduisant des vulnérabilités, offrant un potentiel de détection précoce dans le développement du noyau.
