OpenSUSE вилучає Deepin Desktop через порушення політики безпеки

Нещодавно проєкт openSUSE прийняв рішення вилучити Deepin Desktop Environment (DDE) зі своїх репозиторіїв через значні порушення політики пакетування. DDE відомий своїм вишуканим візуальним стилем та зручним користувацьким інтерфейсом.

Згідно з інформацією від команди безпеки openSUSE, у пакетуванні DDE було виявлено тривожний обхідний шлях. Пакувальник спільноти Deepin додав діалогове вікно “ліцензійної угоди” в пакет deepin-feature-enable, що фактично обходило стандартні процеси перевірки безпеки, необхідні для openSUSE.

Порушення безпеки в Deepin Desktop

Зазвичай компоненти, такі як конфігурації системного сервісу D-Bus та політики Polkit, повинні проходити строгу перевірку командою безпеки SUSE. Лише після цього вони можуть потрапити до списку дозволених для включення в дистрибутиви openSUSE.

Однак у цьому випадку виявлена “ліцензійна угода” дозволяла користувачам обходити ці перевірки безпеки. Просто погодившись з умовами, вони могли встановлювати компоненти, які команда безпеки позначила як потенційно небезпечні.

Така практика була виявлена під час планових перевірок безпеки в січні 2025 року. Виявилося, що ключові компоненти Deepin, такі як deepin-daemon та файловий менеджер, взагалі не проходили формальних процесів перевірки.

Історія проблем безпеки з Deepin

Хоча пакувальник Deepin, імовірно, не мав зловмисних намірів і відкрито повідомляв про проблеми безпеки через “ліцензійну угоду”, такий підхід був визнаний неприйнятним. Він порушував політику пакетування openSUSE та створював потенційні ризики безпеки для користувачів.

Більш глибока проблема полягає в історично напружених відносинах між командами безпеки openSUSE та розробниками Deepin. Відповідно до повідомлень, існують повторювані проблеми безпеки, недостатнє усунення вразливостей та непослідовна комунікація.

Ситуацію могли ускладнювати мовні бар’єри (Deepin – це китайський Linux-дистрибутив, орієнтований переважно на користувачів у Китаї) та обмежені ресурси розробників. Внаслідок цього підтримка безпечної та надійної інтеграції Deepin у openSUSE стала дедалі складнішою.

Враховуючи історію безпеки Deepin та занепокоєння, висловлені раніше, ми не рекомендуємо використовувати Deepin desktop на даний момент.

Як це вплине на користувачів openSUSE

У відповідь на ці події, openSUSE повністю вилучить Deepin Desktop з релізу Tumbleweed та майбутнього дистрибутиву Leap 16.0. Для користувачів Leap 15.6 буде видалено лише проблемний пакет deepin-feature-enable.

Для тих, хто попри визнані проблеми безпеки бажає продовжувати використовувати Deepin, openSUSE пропонує вручну додати репозиторії проєкту розробки Deepin. Однак користувачам рекомендують бути обережними, зважаючи на окреслені ризики безпеки.

Додаткову інформацію можна знайти в офіційній заяві openSUSE. Також ви можете відвідати офіційний сайт Deepin Desktop Environment для ознайомлення з цим робочим середовищем.