Fedora streicht Deepin‑Desktop aus den offiziellen Paketquellen

• D‑Bus ermöglicht die Kommunikation zwischen Anwendungen und Systemdiensten.
• Polkit steuert Berechtigungen für administrative Aktionen.

Software, die in diesen Bereichen arbeitet, bewegt sich nah an den Privileggrenzen des Systems. Fehler im Design oder in der Implementierung können deshalb weitreichendere Folgen haben als typische Desktop‑Bugs.

Sicherheitsanalysen im Linux‑Ökosystem hatten bereits zuvor Probleme in Deepin‑Modulen identifiziert, die solche Schnittstellen nutzen. Besonders Module mit D‑Bus‑Integration wurden als potenziell riskant bewertet.

Der Einfluss der openSUSE‑Entscheidung

Fedora traf seine Entscheidung nicht isoliert. Bereits 2025 entfernte openSUSE die Deepin‑Desktop‑Umgebung aus seinen Repositories nach einer eigenen Sicherheitsprüfung.

Das openSUSE‑Sicherheitsteam stellte unter anderem fest:

• Ein Paket nutzte eine Umgehung der üblichen RPM‑Sicherheitsprüfungen.
• Dadurch konnten Komponenten installiert werden, die normalerweise eine Sicherheitsfreigabe benötigen.
• Betroffen waren unter anderem D‑Bus‑Systemdienste und Polkit‑Richtlinien, die privilegierte Systemaktionen steuern.

Die Prüfer bewerteten diese Umgehung als klaren Verstoß gegen Projektregeln und verwiesen zusätzlich auf wiederkehrende Sicherheitsprobleme in Deepin‑Komponenten.

openSUSE erklärte damals, Deepin könne wieder aufgenommen werden, wenn die Probleme upstream behoben und erneut geprüft würden. In späteren Überprüfungen sah das Projekt jedoch nur begrenzte Fortschritte, sodass die Entfernung bestehen blieb.

Diese Vorgeschichte führte auch bei Fedora zu einer genaueren Prüfung der eigenen Deepin‑Pakete.

Wartung und Kommunikation als zusätzlicher Faktor

Neben den technischen Risiken spielte auch die praktische Wartbarkeit eine Rolle.

Während der Überprüfung berichteten Fedora‑Entwickler, dass es teilweise schwierig war, Maintainers oder Upstream‑Entwickler zu erreichen, wenn es um Bugs oder Sicherheitsfragen ging. Für Distributionen, die stark auf Zusammenarbeit mit Upstream‑Projekten angewiesen sind, ist schnelle Kommunikation entscheidend, um Sicherheitslücken zu schließen und stabile Pakete bereitzustellen.

Fehlende Reaktionszeiten erhöhen das Risiko, dass Schwachstellen länger ungepatcht bleiben.

Was bedeutet das für Deepin‑Nutzer?

Die Entfernung aus Fedora und openSUSE bedeutet nicht, dass Deepin grundsätzlich nicht mehr verwendet werden kann. Sie bedeutet lediglich, dass die Desktop‑Umgebung dort nicht mehr offiziell gepflegt und ausgeliefert wird.

Wer Deepin weiterhin nutzen möchte, hat mehrere Möglichkeiten:

• eine Linux‑Distribution verwenden, die Deepin offiziell anbietet
• Community‑ oder Drittanbieter‑Repositories nutzen
• Deepin selbst kompilieren und paketieren

Der Unterschied: Ohne offizielle Distribution‑Pakete müssen Nutzer stärker auf eigene Updates, Sicherheitsprüfungen und Wartung achten.

Ein Beispiel für die Sicherheitsstandards von Distributionen

Der Fall Deepin zeigt, wie Linux‑Distributionen zwischen Benutzerfreundlichkeit und Sicherheitsanforderungen abwägen müssen. Auch ein optisch ausgefeilter Desktop muss strenge Anforderungen erfüllen – etwa bei Paketierung, Code‑Review, Sicherheitsdesign und langfristiger Wartung.

Für Fedora und openSUSE führten die Kombination aus Sicherheitsbedenken, problematischen Systemintegrationen und begrenzter Upstream‑Kommunikation letztlich zu demselben Ergebnis: Deepin erfüllt derzeit nicht die Voraussetzungen für offizielle Repository‑Pakete.