En ny analys av 20 års Linuxkärnutveckling visar att buggar ofta förblir oupptäckta i åratal, med en genomsnittlig livslängd på 2,1 år innan upptäckt. Forskningen, gjord av Pebblebeds Jenny Guanni Qu, belyser variationer mellan kärnkomponenter och förekomsten av ofullständiga korrigeringar. Vissa sårbarheter varade i över två årtionden.
Linuxkärnan, en hörnsten i öppen källkods-operativsystem, är inte immun mot bestående buggar, enligt en detaljerad studie publicerad den 8 januari 2026. Jenny Guanni Qu, forskare på Pebblebed, undersökte 125 183 buggar som sträcker sig från april 2005 till januari 2026, med data från Linuxkärnversionen 6.19-rc3. Hennes metodologi byggde på 'Fixes:'-taggen i git-commits, som länkar korrigeringar till de ursprungliga introducerande commits. Ett specialverktyg extraherade dessa taggar och beräknade bugglivslängder baserat på commit-datum. Av registren var 119 449 unika korrigeringar från 9 159 författare, med endast 158 tilldelade CVE-ID. Viktiga resultat inkluderar en genomsnittlig buggupptäcktstid på 2,1 år. Den längsta oupptäckta frågan – en buffertöverflöde i nätverkskod – varade i 20,7 år. Variationer mellan komponenter är stora: CAN bus-drivrutiner i genomsnitt 4,2 år, SCTP-nätverk 4,0 år, medan GPU-buggar upptäcktes på 1,4 år och BPF-buggar på 1,1 år. Studien noterar också vanliga ofullständiga korrigeringar. Till exempel kringgicks en netfilter set-fältvalideringspatch från 2024 ett år senare av en säkerhetsforskare. Detta understryker pågående utmaningar trots framsteg, såsom den nyliga första Rust CVE bland 159 C-kod-CVE samma dag. Qu utvecklade vidare VulnBERT, en AI-modell för att förutsäga sårbarhetsintroducerande commits, vilket erbjuder potential för tidigare upptäckt i kärnutvecklingen.