Menyelaraskan toolchain CI dengan baseline Linux yang berubah bukan soal mengikuti rilis kernel terbaru secepat mungkin, tetapi memastikan pipeline tetap dapat diprediksi ketika asumsi lama tentang kernel, libc, cgroup, syscall, atau base image tidak lagi berlaku. Dalam praktiknya, banyak kegagalan CI muncul bukan karena perubahan kode aplikasi, melainkan karena lapisan sistem di bawahnya berubah diam-diam: runner diperbarui, image dasar berganti, atau dependency native mengharapkan ABI dan fitur kernel tertentu.

Dengan konteks evaluasi yang dipicu oleh rilis Linux 7.1, pendekatan yang aman adalah memperlakukan perubahan baseline sebagai compatibility event. Fokusnya bukan pada berita rilis kernel, melainkan pada audit toolchain end-to-end: apa yang dikompilasi di mana, dijalankan di kernel apa, memakai libc apa, dan bergantung pada fitur sistem apa. Jika tim backend atau DevOps punya lint, test, build, dan release yang berjalan pada kombinasi lingkungan berbeda, artikel ini memberi kerangka praktis untuk menjaga stabilitasnya.

Catatan konteks: rilis kernel baru sering menjadi pemicu evaluasi, tetapi yang perlu diuji bukan hanya kernelnya. Yang lebih sering menyebabkan gangguan adalah interaksi antara kernel, container runtime, runner CI, image dasar, dan binary native yang dibawa dependency proyek.

Mengapa baseline Linux memengaruhi CI/CD

Pipeline CI/CD modern jarang berjalan di satu lapisan tunggal. Sebuah job dapat melibatkan:

  • host runner dengan kernel tertentu,
  • container runtime seperti Docker atau containerd,
  • base image build dan test,
  • toolchain bahasa pemrograman,
  • dependency native seperti OpenSSL, libpq, zlib, image codec, atau module berbasis C/C++,
  • alat observability atau security yang memakai eBPF, seccomp, atau capability tertentu.

Perubahan baseline Linux dapat memengaruhi semua lapisan itu lewat beberapa jalur umum:

  • Syscall compatibility: binary atau runtime bisa memanggil syscall yang diblokir atau berubah perilakunya oleh profil seccomp atau runtime container.
  • cgroup v1/v2: alat yang membaca metrik proses, membatasi memory/CPU, atau menjalankan nested container bisa gagal jika masih mengasumsikan layout cgroup lama.
  • eBPF dan capability: agen observability, profiling, atau security kadang membutuhkan fitur kernel atau capability yang tidak konsisten antar runner.
  • glibc vs musl: image dasar berbeda dapat mengubah kompatibilitas binary native, terutama jika ada modul prebuilt.
  • Perbedaan ABI/headers saat kompilasi: ekstensi native bisa berhasil dibangun di satu image tetapi gagal dijalankan di image runtime yang berbeda.

Masalah yang paling berbahaya adalah yang tidak muncul di local-dev tetapi muncul di CI atau produksi. Karena itu, tujuan utamanya adalah mengurangi jarak asumsi antara lingkungan pengembangan, build, test, dan release.

Audit awal: petakan dependency native dan asumsi sistem

1. Identifikasi komponen yang tidak murni interpreted

Mulailah dari daftar dependency yang melibatkan binary native atau integrasi sistem. Ini mencakup:

  • package dengan ekstensi C/C++, Rust, atau Go yang dikompilasi,
  • library kriptografi, kompresi, database client, atau image processing,
  • CLI tools yang dipanggil saat build, test, atau release,
  • agen monitoring, tracer, profiler, atau scanner keamanan,
  • builder image, misalnya Docker-in-Docker, BuildKit, Kaniko, atau alat sejenis.

Untuk aplikasi backend, daftar ini sering tersembunyi di transitive dependency. Jangan hanya melihat package.json, go.mod, Gemfile, atau requirements.txt; lihat juga apa yang diunduh atau dikompilasi saat proses build berjalan.

2. Bedakan lingkungan build dan runtime

Banyak kegagalan terjadi karena binary dibangun di lingkungan A lalu dijalankan di lingkungan B yang berbeda baseline Linux-nya. Catat dengan eksplisit:

  • image untuk build,
  • image untuk test,
  • image untuk runtime,
  • kernel dan runtime container dari runner CI.

Jika build stage memakai distro berbasis glibc tetapi runtime memakai image minimal berbasis musl, modul native tertentu bisa lolos saat kompilasi namun gagal saat dijalankan.

3. Inventaris syscall, seccomp, cgroup, dan eBPF yang relevan

Tidak semua tim perlu audit tingkat rendah, tetapi untuk toolchain backend/DevOps hal ini sering penting. Fokus pada komponen yang:

  • membaca informasi proses atau container,
  • menjalankan nested container atau image build,
  • membatasi resource,
  • menggunakan observability berbasis kernel,
  • bergantung pada /sys/fs/cgroup, namespace, atau capability Linux.

Bila ada kegagalan samar seperti proses keluar mendadak, permission error di container, atau metrik tidak muncul, kemungkinan sumbernya ada pada lapisan ini.

4. Kumpulkan metadata lingkungan pada setiap job

Sebelum upgrade apa pun, pastikan setiap pipeline bisa mencetak informasi minimum berikut:

uname -a
cat /etc/os-release || true
ldd --version || true
mount | grep cgroup || true
stat -fc %T /sys/fs/cgroup || true
docker version || true
docker info || true

Tujuannya bukan untuk debugging sesaat saja, tetapi membangun jejak bukti saat terjadi mismatch antara local-dev, CI, dan produksi.

Area yang paling sering rusak saat baseline berubah

Runner CI dan container runtime

Runner adalah tempat perubahan baseline paling sering masuk tanpa disadari tim aplikasi. Contoh sumber perubahan:

  • image VM runner diperbarui otomatis,
  • host beralih ke cgroup v2,
  • profil seccomp atau AppArmor berubah,
  • versi Docker Engine atau containerd berubah,
  • rootless mode atau privilege policy diperketat.

Jika pipeline Anda memakai Docker build, service container, atau DinD, uji skenario itu secara eksplisit. Job unit test biasa mungkin tetap hijau, tetapi job release image bisa gagal karena storage driver, permission socket, atau nested namespace.

Base image container

Base image yang terlalu longgar adalah sumber drift klasik. Tag seperti latest atau tag mayor tanpa digest dapat berubah kapan saja. Saat baseline Linux berubah, perbedaan kecil di userland bisa memicu:

  • perubahan package dependency,
  • hilangnya utilitas shell yang diasumsikan script CI,
  • perbedaan SSL CA bundle, timezone, locale, atau path library,
  • gagalnya binary prebuilt karena libc berbeda.

Praktik aman adalah memisahkan pinning berdasarkan kebutuhan:

  • pin ketat untuk image release dan stage build kritikal,
  • pin moderat untuk job eksperimental atau canary,
  • gunakan digest untuk komponen yang harus benar-benar reproducible.

Dependency native

Dependency native sering memperkenalkan perilaku yang tidak terlihat pada dependency murni interpreted. Gejalanya antara lain:

  • gagal install hanya di CI,
  • segmentation fault atau illegal instruction,
  • test yang flaky pada job paralel,
  • binary jalan di local tetapi gagal di runner minimal.

Untuk bahasa seperti Node.js, Python, Ruby, atau Java, masalah ini tetap relevan jika ada modul native, JNI, atau CLI eksternal. Untuk Go dan Rust, meski banyak binary statis, sebagian pipeline tetap bergantung pada tool sistem, CA bundle, shell, atau komponen libc tertentu jika CGO aktif.

cgroup, syscall, dan eBPF

Perubahan dari cgroup v1 ke v2, atau perubahan kebijakan capability, dapat mengganggu:

  • test performa dan memory limit,
  • runner yang melakukan introspeksi container,
  • agen monitoring/profiling,
  • alat build yang bergantung pada nested container atau namespace khusus.

Masalah di area ini sering tampak seperti error aplikasi biasa, padahal sumbernya adalah kernel feature yang tidak tersedia atau dibatasi.

Matriks verifikasi lint-test-build-release

Upgrade aman memerlukan matriks verifikasi, bukan satu pipeline linear. Tujuannya adalah membedakan kode rusak dari lingkungan bergeser.

Dimensi matriks yang perlu diuji

Untuk topik ini, minimal gunakan dimensi berikut:

  • Tahap pipeline: lint, unit test, integration test, build artifact, image build, smoke test runtime, release dry-run.
  • Jenis runner: runner lama dan runner kandidat baru.
  • Base image: image saat ini dan image kandidat.
  • Mode eksekusi: tanpa container, dalam container, atau dengan service container jika relevan.

Tidak semua kombinasi harus blocking. Pisahkan menjadi:

  • gating: wajib hijau untuk merge/release,
  • informational: canary untuk mendeteksi potensi masalah baseline baru.

Contoh struktur matriks

  • Lint: cepat, berjalan pada runner lama dan baru.
  • Unit test: runner lama sebagai gating, runner baru sebagai informational di awal.
  • Build artifact: runner lama dan baru, karena di sinilah dependency native sering pecah.
  • Image build: wajib menguji runtime container aktual.
  • Smoke test release image: jalankan binary atau aplikasi hasil build di image runtime yang sama dengan yang akan dirilis.

Prinsip pentingnya: jangan menyatakan upgrade aman hanya karena unit test lulus. Yang perlu lulus adalah lint-test-build-release pada baseline kandidat.

Checklist upgrade aman untuk baseline Linux

  1. Bekukan state saat ini: catat versi runner, base image, container runtime, dan dependency native yang diketahui stabil.
  2. Pin image penting: hindari tag mengambang untuk build/release image.
  3. Tambah job metadata: cetak info kernel, distro, libc, cgroup, dan runtime container.
  4. Buat lane canary: jalankan pipeline yang sama pada runner atau image kandidat tanpa langsung mengganti lane utama.
  5. Bandingkan artifact: ukuran, dependency linked, dan hasil smoke test antara baseline lama dan baru.
  6. Uji integration yang menyentuh kernel feature: terutama jika ada nested container, profiling, resource limit, atau observability agent.
  7. Siapkan rollback: kemampuan kembali ke runner/image lama harus lebih dulu tersedia sebelum switch penuh.
  8. Monitor sinyal gagal: bukan hanya status job merah, tetapi juga timeout, retry meningkat, test flaky, atau penurunan performa build.

Mendeteksi mismatch antara local-dev dan CI

Mismatch paling umum bukan pada source code, tetapi pada asumsi sistem. Beberapa pola deteksinya:

1. Samakan cara build lokal dengan CI

Jika CI membangun dalam container, sediakan target lokal yang memakai container yang sama. Misalnya, gunakan satu skrip atau Make target yang memanggil image build/test yang identik dengan CI.

make ci-test
make ci-build
make ci-smoke

Di balik target itu, panggil container dengan variabel yang konsisten. Tujuannya agar developer tidak bergantung pada toolchain host yang kebetulan lebih permisif.

2. Rekam fingerprint lingkungan

Tambahkan langkah yang menyimpan fingerprint sederhana sebagai artifact CI, misalnya:

  • kernel, distro, libc, arsitektur,
  • hash atau digest image build,
  • daftar package sistem penting,
  • hasil ldd untuk binary utama jika relevan.

Saat bug hanya terjadi di CI, fingerprint ini mempercepat pembandingan.

3. Jalankan smoke test runtime, bukan hanya unit test

Build yang sukses belum membuktikan artifact dapat berjalan di runtime target. Jalankan perintah minimal seperti start aplikasi, koneksi ke dependency, atau load modul native penting.

4. Waspadai local-dev di macOS atau Windows

Jika developer memakai Docker Desktop atau WSL, local-dev sudah melalui lapisan virtualisasi. Perilaku I/O, filesystem, permission, dan cgroup bisa berbeda dari runner Linux murni. Karena itu, keputusan akhir kompatibilitas tetap harus didasarkan pada pipeline Linux yang mendekati produksi.

Strategi pinning versi tanpa membekukan evolusi

Pinning yang baik menjaga reproducibility tanpa membuat toolchain tidak pernah diperbarui.

Apa yang sebaiknya di-pin ketat

  • base image build dan runtime untuk release,
  • tool kritikal dalam pipeline release,
  • runner image atau label runner yang terkait baseline tertentu,
  • dependency native yang diketahui sensitif terhadap libc atau ABI.

Apa yang bisa di-pin lebih longgar

  • tool lint non-kritis,
  • job eksperimen atau compatibility lane,
  • scanner atau analyzer yang tidak mengubah artifact release.

Trade-off-nya jelas: pin ketat memberi stabilitas, tetapi menambah pekerjaan audit berkala. Solusi praktisnya adalah menetapkan upgrade window rutin untuk runner dan image, bukan membiarkan drift acak terjadi di luar kontrol.

Canary pipeline, rollout bertahap, dan rollback

Canary pipeline

Buat satu lane canary yang menjalankan workflow identik pada baseline kandidat. Pada tahap awal, canary tidak memblokir merge, tetapi hasilnya harus terlihat jelas di dashboard tim. Fokuskan canary pada job yang paling sensitif:

  • install dependency native,
  • build image,
  • integration test dengan service container,
  • smoke test runtime.

Rollout bertahap

Setelah canary stabil, pindahkan sebagian job gating ke baseline baru. Jangan mengganti semua sekaligus. Urutan aman biasanya:

  1. lint dan unit test,
  2. build artifact,
  3. image build,
  4. release dry-run,
  5. release aktual.

Rollback yang nyata, bukan asumsi

Rollback hanya berguna jika dapat dilakukan cepat. Siapkan:

  • label runner lama yang masih aktif,
  • digest image lama yang masih tersedia,
  • variabel CI untuk memilih lane lama atau baru,
  • dokumentasi singkat kapan rollback dilakukan.

Kesalahan umum adalah mengganti image atau runner tanpa menyimpan referensi yang bisa dipakai kembali.

Observability: sinyal gagal yang harus dipantau

Jangan hanya melihat sukses/gagal job. Perubahan baseline Linux sering muncul sebagai degradasi bertahap.

  • Waktu install dependency meningkat: bisa menandakan fallback dari binary prebuilt ke kompilasi source.
  • Timeout build image: bisa terkait storage driver, network namespace, atau perubahan cache layer.
  • Retry test meningkat: sering menandakan race condition yang sebelumnya tertutup oleh karakteristik kernel/runner lama.
  • Memory kill atau OOM berbeda: sering terkait cgroup v2 atau perubahan limit default.
  • Missing metrics/traces: indikasi agen observability tidak lagi kompatibel dengan capability atau eBPF di runner baru.

Simpan metrik historis pipeline agar perubahan baseline dapat dikorelasikan dengan sinyal-sinyal ini.

Contoh workflow GitHub Actions

Contoh berikut menunjukkan pola matriks untuk runner lama dan kandidat baru, plus pengumpulan metadata lingkungan. Label runner dan image perlu disesuaikan dengan infrastruktur tim Anda.

name: ci

on:
  push:
  pull_request:

jobs:
  verify:
    strategy:
      fail-fast: false
      matrix:
        lane: [stable, canary]
        stage: [lint, test, build, smoke]
    runs-on: ${{ matrix.lane == 'stable' && 'ubuntu-latest' || 'ubuntu-latest' }}
    container:
      image: ${{ matrix.lane == 'stable' && 'ghcr.io/acme/ci-base:stable' || 'ghcr.io/acme/ci-base:candidate' }}
    steps:
      - uses: actions/checkout@v4

      - name: Environment fingerprint
        run: |
          uname -a
          cat /etc/os-release || true
          ldd --version || true
          mount | grep cgroup || true
          stat -fc %T /sys/fs/cgroup || true

      - name: Lint
        if: matrix.stage == 'lint'
        run: ./scripts/ci-lint.sh

      - name: Test
        if: matrix.stage == 'test'
        run: ./scripts/ci-test.sh

      - name: Build
        if: matrix.stage == 'build'
        run: ./scripts/ci-build.sh

      - name: Smoke
        if: matrix.stage == 'smoke'
        run: ./scripts/ci-smoke.sh

Catatan penting:

  • Contoh di atas menunjukkan pola, bukan detail final semua runner GitHub-hosted atau self-hosted.
  • Jika Anda perlu benar-benar membedakan kernel host, biasanya itu lebih relevan pada self-hosted runner karena kernel host tidak ditentukan oleh image container.
  • Untuk gating, Anda dapat menetapkan hanya lane stable yang wajib lulus, lalu menaikkan canary menjadi wajib setelah hasilnya konsisten.

Contoh workflow GitLab CI

GitLab CI cocok untuk memisahkan lane stabil dan kandidat lewat variabel, tag runner, dan image yang berbeda.

stages:
  - lint
  - test
  - build
  - smoke

.default_job: &default_job
  before_script:
    - uname -a
    - cat /etc/os-release || true
    - ldd --version || true
    - mount | grep cgroup || true
    - stat -fc %T /sys/fs/cgroup || true

lint:stable:
  stage: lint
  image: registry.example.com/ci-base:stable
  tags: [stable-runner]
  script:
    - ./scripts/ci-lint.sh

lint:canary:
  stage: lint
  image: registry.example.com/ci-base:candidate
  tags: [candidate-runner]
  script:
    - ./scripts/ci-lint.sh
  allow_failure: true

test:stable:
  stage: test
  image: registry.example.com/ci-base:stable
  tags: [stable-runner]
  script:
    - ./scripts/ci-test.sh

build:canary:
  stage: build
  image: registry.example.com/ci-base:candidate
  tags: [candidate-runner]
  script:
    - ./scripts/ci-build.sh
  allow_failure: true

smoke:canary:
  stage: smoke
  image: registry.example.com/ci-base:candidate
  tags: [candidate-runner]
  script:
    - ./scripts/ci-smoke.sh
  allow_failure: true

Pola ini memudahkan transisi bertahap. Setelah lane kandidat stabil, Anda bisa membalik statusnya menjadi wajib lulus dan menurunkan lane lama secara bertahap.

Kesalahan umum yang sebaiknya dihindari

  • Menganggap kernel baru otomatis masalah utama: sering kali yang rusak justru image dasar, seccomp profile, atau runtime container.
  • Mengandalkan tag image mengambang: sulit menentukan kapan drift terjadi.
  • Tidak membedakan build dan runtime: artifact sukses dibangun belum tentu kompatibel saat dijalankan.
  • Langsung migrasi semua job: tanpa canary dan rollback, diagnosis menjadi lambat.
  • Tidak mengumpulkan metadata lingkungan: membuat root cause analysis jauh lebih sulit.
  • Hanya menguji unit test: padahal masalah baseline sering muncul pada image build, service container, atau smoke test runtime.

Penutup

Saat baseline Linux berubah, stabilitas CI/CD bergantung pada disiplin memetakan asumsi sistem, bukan sekadar memperbarui satu komponen lalu berharap semuanya tetap berjalan. Untuk tim backend dan DevOps, langkah paling efektif adalah mengaudit dependency native, memisahkan build dan runtime, memverifikasi kompatibilitas syscall/cgroup/eBPF yang relevan, lalu menjalankan matriks lint-test-build-release pada lane stabil dan canary.

Dengan pendekatan itu, rilis Linux 7.1 dapat diperlakukan sebagai pemicu evaluasi toolchain yang terkontrol, bukan sumber kejutan di tengah pipeline produksi. Jika Anda bisa mendeteksi mismatch local-dev versus CI lebih awal, melakukan pinning yang tepat, menyiapkan rollback, dan memantau sinyal gagal yang benar, perubahan baseline Linux tidak harus berakhir menjadi insiden release.