Alasan Fedora dan openSUSE Menghapus Deepin Desktop Environment

Tim keamanan openSUSE menemukan bahwa seorang packager komunitas membuat solusi sementara (workaround) yang melewati mekanisme packaging RPM standar. Cara ini memungkinkan beberapa aset terbatas dipasang tanpa melewati proses tinjauan keamanan normal.

Bagi openSUSE, hal ini dianggap pelanggaran serius. Distribusi tersebut menerapkan aturan packaging yang ketat agar setiap komponen—terutama yang berinteraksi dengan fungsi sistem sensitif—melewati pemeriksaan keamanan yang wajib.

Setelah pelanggaran ini ditemukan, openSUSE memutuskan untuk menghapus paket Deepin dari distribusinya hingga masalah tersebut benar‑benar diselesaikan.

Karena kasus tersebut sudah diketahui di komunitas Linux, pengembang Fedora juga mempertimbangkan kekhawatiran yang sebelumnya disampaikan oleh tim openSUSE.

Kekhawatiran keamanan terkait D‑Bus dan Polkit

Selain masalah kebijakan packaging, sejumlah isu keamanan teknis juga sering muncul saat komponen Deepin diperiksa.

Beberapa laporan menyoroti masalah pada:

• Layanan D‑Bus yang digunakan Deepin untuk komunikasi antar aplikasi
• Pengelolaan hak akses melalui Polkit (PolicyKit) yang menentukan kapan aplikasi dapat meminta izin administratif

Beberapa analisis juga menyebut potensi jalur eskalasi hak akses ketika komponen Deepin berinteraksi dengan layanan sistem.

Salah satu titik masalah yang sering dibahas adalah layanan D‑Bus milik file manager Deepin. Proses audit keamanannya telah berlangsung bertahun‑tahun tanpa hasil yang benar‑benar final. Reviewer mencatat bahwa beberapa perbaikan hanya menyelesaikan sebagian masalah atau bahkan memperkenalkan bug baru di pembaruan berikutnya.

Karena D‑Bus dapat membuka akses ke fungsi sistem, kesalahan desain atau pembatasan yang kurang ketat bisa memungkinkan aplikasi mendapatkan akses yang tidak semestinya jika tidak diaudit dengan sangat hati‑hati.

Respons upstream yang terbatas

Faktor lain yang memperkuat keputusan kedua distro adalah komunikasi dengan proyek upstream Deepin.

Selama proses audit keamanan sebelumnya, maintainer openSUSE melaporkan bahwa beberapa masalah tidak ditangani secara menyeluruh. Dalam beberapa kasus, perbaikan hanya menutup sebagian masalah atau digantikan oleh masalah baru pada pembaruan selanjutnya.

Dalam pengembangan perangkat lunak open‑source, kerja sama antara distro dan proyek upstream sangat penting. Tanpa komunikasi yang efektif, distribusi akan kesulitan untuk:

• mengaudit kode yang sensitif terhadap keamanan
• memastikan kerentanan benar‑benar diperbaiki
• mempertahankan patch keamanan dalam jangka panjang

Gabungan antara pelanggaran kebijakan packaging, masalah teknis yang belum tuntas, dan komunikasi yang kurang efektif akhirnya membuat kedua distro memutuskan untuk menghentikan distribusi Deepin.

Apa artinya bagi pengguna Deepin

Penghapusan dari repositori Fedora dan openSUSE tidak berarti Deepin berhenti ada. Lingkungan desktop ini masih dikembangkan dan digunakan di distribusi lain.

Pengguna yang masih ingin menggunakan Deepin memiliki beberapa pilihan:

• Menggunakan distro Linux yang menjadikan Deepin sebagai desktop utama
• Menginstal paket dari repositori pihak ketiga
• Mengompilasi Deepin secara manual dari source

Namun ada konsekuensi yang perlu dipahami. Paket dari luar repositori resmi biasanya tidak melalui proses audit keamanan dan kebijakan packaging yang sama ketatnya seperti di Fedora atau openSUSE.

Pelajaran bagi ekosistem distribusi Linux

Kasus Deepin menyoroti satu prinsip penting dalam pengelolaan distribusi Linux: popularitas atau tampilan yang menarik tidak cukup untuk menjamin sebuah paket tetap dipertahankan.

Distribusi besar seperti Fedora dan openSUSE menempatkan prioritas tinggi pada:

• transparansi kode
• kepatuhan terhadap kebijakan packaging
• pemeliharaan yang aktif
• proses audit keamanan yang dapat dipercaya

Jika standar tersebut tidak terpenuhi, bahkan lingkungan desktop yang populer sekalipun bisa dihapus dari repositori resmi.

Bagi kedua proyek tersebut, keputusan ini mencerminkan pendekatan keamanan yang konservatif—mengutamakan integrasi sistem yang dapat dipercaya daripada mempertahankan semua opsi desktop yang tersedia.