Analisis baru atas 20 tahun pengembangan kernel Linux mengungkapkan bahwa bug sering kali tidak terdeteksi selama bertahun-tahun, dengan masa hidup rata-rata 2,1 tahun sebelum ditemukan. Penelitian oleh Jenny Guanni Qu dari Pebblebed menyoroti variasi di berbagai komponen kernel dan maraknya perbaikan tidak lengkap. Beberapa kerentanan bertahan lebih dari dua dekade.
Kernel Linux, pondasi utama sistem operasi open source, tidak kebal terhadap bug yang persisten, menurut studi terperinci yang diterbitkan pada 8 Januari 2026. Jenny Guanni Qu, peneliti di Pebblebed, memeriksa 125.183 bug dari April 2005 hingga Januari 2026, menggunakan data dari versi kernel Linux 6.19-rc3. Metodologinya bergantung pada tag 'Fixes:' di commit git, yang menghubungkan perbaikan ke commit pengantar asli. Alat khusus mengekstrak tag ini, menghitung masa hidup bug berdasarkan tanggal commit. Dari catatan tersebut, 119.449 adalah perbaikan unik dari 9.159 penulis, dengan hanya 158 yang diberi ID CVE. Temuan utama mencakup waktu deteksi bug rata-rata 2,1 tahun. Masalah tak terdeteksi terlama—overflow buffer di kode jaringan—bertahan 20,7 tahun. Variasi antar komponen mencolok: driver bus CAN rata-rata 4,2 tahun, jaringan SCTP 4,0 tahun, sementara bug GPU tertangkap dalam 1,4 tahun dan bug BPF dalam 1,1 tahun. Studi juga mencatat perbaikan tidak lengkap yang umum terjadi. Misalnya, patch validasi field set netfilter tahun 2024 dilewati satu tahun kemudian oleh peneliti keamanan. Ini menggarisbawahi tantangan yang berkelanjutan meskipun ada kemajuan, seperti CVE Rust pertama baru-baru ini di tengah 159 CVE kode C pada hari yang sama. Qu juga mengembangkan VulnBERT, model AI untuk memprediksi commit pengantar kerentanan, menawarkan potensi deteksi lebih dini dalam pengembangan kernel.
