Seorang peneliti dan pengembang Linux, Jenny Guanni Qu, menemukan bahwa rata-rata perbaikan bug pada kernel Linux membutuhkan waktu lebih dari dua tahun. Temuan ini didapat setelah menganalisis lebih dari 125.000 catatan perbaikan bug yang terjadi selama dua dekade terakhir.
Qu, yang juga seorang pengembang, menyatakan bahwa ada banyak bug yang saat ini tersembunyi dalam kernel dan tidak akan ditemukan selama bertahun-tahun. “Ada bug di kernel Anda saat ini yang tidak akan ditemukan selama bertahun-tahun. Saya tahu karena saya menganalisis 125.183 di antaranya,” ujar Qu, seperti dikutip pada Jumat, 09 Januari 2026.
Liputan informatif lainnya tersedia di Mureks. mureks.co.id
Untuk mendapatkan data ini, Qu mengembangkan sebuah alat khusus yang mampu menyaring perubahan pada kernel Linux. Alat tersebut digunakan untuk mengidentifikasi setiap perbaikan bug yang telah dilakukan sejak tahun 2005. Setelah enam jam proses penyaringan, Qu berhasil mengumpulkan 125.183 catatan kerentanan.
Dari analisis tersebut, catatan Mureks menunjukkan bahwa rata-rata umur sebuah bug, yaitu periode bug tersebut ada dan berpotensi menyebabkan masalah bagi pengguna, adalah 2,1 tahun dalam rentang waktu 20 tahun. Lebih lanjut, 13 persen dari bug yang ditemukan telah ada selama lima tahun atau lebih sebelum akhirnya diperbaiki.
Perbaikan Bug Lebih Cepat di Tahun-tahun Terakhir
Meskipun angka rata-rata menunjukkan waktu perbaikan yang panjang, Qu juga menyoroti adanya perbaikan dalam proses penanganan bug. “Bug yang diperkenalkan dalam beberapa tahun terakhir tampaknya diperbaiki jauh lebih cepat,” jelasnya.
Namun, Qu mengingatkan pentingnya kehati-hatian dalam menafsirkan statistik. Ia menjelaskan bahwa data ini bersifat ‘right-censored’, yang berarti bug yang baru diperkenalkan belum memiliki cukup waktu untuk menunjukkan umur panjangnya. “Bug yang diperkenalkan pada tahun 2010 membutuhkan waktu hampir 10 tahun untuk ditemukan dan bug yang diperkenalkan pada tahun 2024 ditemukan dalam 5 bulan. Sekilas terlihat seperti peningkatan 20 kali lipat! Tapi inilah masalahnya: data ini bersifat right-censored. Bug yang diperkenalkan pada tahun 2022 belum bisa memiliki umur 10 tahun karena kita baru di tahun 2026. Kita mungkin menemukan lebih banyak bug tahun 2022 di tahun 2030 yang akan meningkatkan rata-rata,” papar Qu.
Secara keseluruhan, Qu menyimpulkan bahwa ada kemajuan dalam upaya perbaikan bug. “Kami secara bersamaan menangkap bug baru lebih cepat DAN perlahan-lahan menangani sekitar 5.400 bug lama yang telah bersembunyi selama lebih dari 5 tahun,” tambahnya.
Jenis Bug dan Waktu Perbaikan
Tidak semua jenis bug memiliki waktu perbaikan yang sama. Bug terkait jaringan cenderung membutuhkan waktu lebih lama untuk diperbaiki, sementara bug GPU umumnya lebih cepat ditangani. Beberapa jenis bug tertentu, seperti ‘race-condition’, membutuhkan waktu lebih lama untuk dideteksi dan diperbaiki karena sifatnya yang non-deterministik dan hanya terpicu dalam kondisi waktu spesifik yang mungkin terjadi sekali dalam sejuta eksekusi.
Qu juga mengidentifikasi beberapa penyebab umum bug yang bertahan lama, antara lain: “reference counting errors”, “missing NULL checks after dereference”, “integer overflow in size calculations”, dan “race conditions in state machines”. Seringkali, bug-bug ini hanya beroperasi dalam keadaan yang sangat jarang terjadi. Sebagai contoh, Qu menyebutkan salah satu bug jaringan tertua yang ia temukan, yang tidak diperbaiki selama 19 tahun. Bug tersebut bertahan begitu lama karena hanya terjadi saat menjalankan urutan tes tertentu untuk durasi waktu tertentu, dan “tidak ada yang menjalankan urutan tes spesifik itu selama dua dekade.”
Untuk membantu mengatasi masalah ini, Qu memperkenalkan model AI bernama VulnBERT. Model ini dirancang untuk memprediksi apakah sebuah komit kode akan memperkenalkan kerentanan. Menurut Qu, model VulnBERT mampu menangkap 92,2 persen dari semua komit yang sebenarnya memperkenalkan bug.
