Fedora y openSUSE eliminan Deepin: qué pasó y por qué preocupa la seguridad

Este método permitía instalar archivos que normalmente requerirían una revisión de seguridad obligatoria, lo que fue considerado un problema grave dentro del sistema de control del proyecto.

Tras descubrirse este procedimiento, openSUSE decidió retirar los paquetes de Deepin de sus distribuciones hasta que se resolvieran las preocupaciones planteadas.

Problemas técnicos: D‑Bus, Polkit y privilegios del sistema

Más allá de la violación de políticas de empaquetado, durante años se habían señalado problemas técnicos de seguridad en algunos componentes de Deepin.

Entre los más mencionados están:

• Servicios D‑Bus con acceso a funciones del sistema
• Manejo de permisos administrativos mediante Polkit (PolicyKit)

Estos componentes controlan cómo las aplicaciones interactúan con servicios del sistema y cómo solicitan privilegios administrativos. Si no se diseñan o revisan correctamente, pueden abrir la puerta a escaladas de privilegios o accesos no previstos.

Uno de los puntos más problemáticos fue el servicio D‑Bus del gestor de archivos de Deepin, cuya revisión de seguridad llevaba años sin resolverse completamente. Los revisores señalaron que algunos parches solo corregían parcialmente los problemas o introducían otros nuevos en versiones posteriores.

La falta de respuesta del proyecto upstream

Otro factor clave fue la limitada capacidad de coordinación con los desarrolladores originales de Deepin (el proyecto "upstream").

Los mantenedores de distribuciones necesitan colaborar con upstream para:

• confirmar y corregir vulnerabilidades
• revisar cambios de código
• mantener parches a largo plazo

Sin embargo, algunos revisores indicaron que los problemas reportados no siempre se resolvían completamente o que la comunicación con los desarrolladores era difícil.

Cuando un software requiere revisiones de seguridad constantes pero la comunicación con el proyecto original es limitada, mantenerlo en una distribución grande se vuelve cada vez más complicado.

Qué significa esto para los usuarios de Deepin

La eliminación de Deepin de Fedora y openSUSE no significa que el proyecto Deepin haya desaparecido. Simplemente deja de formar parte de los repositorios oficiales de estas distribuciones.

Quienes prefieren este entorno todavía tienen varias opciones:

• Usar una distribución donde Deepin sea el escritorio principal o esté oficialmente soportado
• Instalar Deepin desde repositorios de terceros
• Compilar el entorno manualmente desde el código fuente

Eso sí, usar paquetes externos implica un compromiso: no pasan necesariamente por las mismas revisiones de seguridad y controles de calidad que los paquetes incluidos en los repositorios oficiales.

Una lección sobre cómo se gobiernan las distribuciones Linux

El caso Deepin muestra una realidad importante del ecosistema Linux: la inclusión de software en una distribución no depende solo de que sea popular o atractivo.

También requiere:

• mantenimiento activo
• código auditable
• cumplimiento estricto de políticas de seguridad

Cuando alguno de esos elementos falla, incluso un entorno de escritorio conocido puede ser retirado de los repositorios oficiales. Para proyectos como Fedora y openSUSE, la prioridad sigue siendo clara: seguridad, transparencia y mantenimiento sostenible.