Mengapa Fedora Menghapus Deepin Desktop dari Repositorinya

D‑Bus digunakan untuk komunikasi antar aplikasi dan layanan sistem di Linux, sementara Polkit mengatur izin untuk operasi administratif. Jika integrasi dengan mekanisme ini tidak dirancang dengan aman, celahnya bisa membuka akses ke fungsi sistem yang sensitif.

Tinjauan keamanan di ekosistem Linux sebelumnya sudah menyoroti beberapa masalah dalam modul Deepin yang berinteraksi dengan layanan tersebut. Misalnya, investigasi menemukan kelemahan pada komponen yang menggunakan antarmuka D‑Bus dan layanan sistem lainnya, yang dampaknya bisa lebih serius dibandingkan bug aplikasi biasa.

Karena komponen tersebut beroperasi dekat dengan batas hak istimewa sistem, masalah yang belum terselesaikan dianggap berisiko tinggi untuk paket yang didistribusikan secara resmi.

Pengaruh Keputusan openSUSE

Keputusan Fedora juga dipengaruhi oleh langkah distribusi Linux lain. openSUSE lebih dulu menghapus Deepin dari repositorinya pada 2025 setelah tim keamanan menemukan sejumlah masalah serius.

Investigasi openSUSE menemukan beberapa hal penting:

• Adanya solusi sementara dalam packaging yang melewati proses peninjauan keamanan RPM standar
• Mekanisme tersebut memungkinkan instalasi komponen yang seharusnya memerlukan persetujuan tim keamanan
• Komponen tersebut mencakup konfigurasi layanan sistem seperti file layanan D‑Bus dan kebijakan Polkit, yang mengontrol operasi dengan hak istimewa pada sistem.

Tim keamanan openSUSE menilai bypass tersebut sebagai pelanggaran kebijakan serius dan bagian dari pola masalah keamanan yang ditemukan saat meninjau kode Deepin.

openSUSE sempat menyatakan bersedia meninjau ulang Deepin jika masalah tersebut diperbaiki oleh pengembang upstream. Namun laporan lanjutan menunjukkan progres yang terbatas, sehingga penghapusan paket tetap berlaku.

Setelah itu, pengembang Fedora juga meninjau apakah masalah serupa terjadi pada paket mereka sendiri—yang akhirnya memicu proses evaluasi yang berujung pada keputusan penghentian paket.

Tantangan Pemeliharaan dan Komunikasi

Selain masalah teknis, pengembang Fedora juga menghadapi kendala praktis dalam pemeliharaan.

Dalam proses tinjauan, disebutkan bahwa respons dari maintainer paket atau pengembang upstream sering terlambat atau sulit diperoleh ketika Fedora melaporkan bug atau masalah keamanan. Bagi distribusi Linux yang sangat bergantung pada kolaborasi dengan proyek upstream, respons cepat sangat penting untuk memperbaiki kerentanan dan menjaga stabilitas paket.

Tanpa pemeliharaan aktif dan komunikasi yang baik, mempertahankan paket dalam repositori resmi menjadi semakin berisiko.

Dampaknya bagi Pengguna Deepin

Penghapusan paket Deepin dari Fedora dan openSUSE tidak berarti desktop environment tersebut tidak dapat digunakan lagi.

Pengguna yang masih ingin menjalankan Deepin memiliki beberapa opsi:

• Menggunakan distribusi Linux lain yang masih menyediakan Deepin secara resmi
• Menginstal Deepin dari repositori pihak ketiga atau komunitas
• Mengompilasi dan memaketkan komponen Deepin secara manual

Namun pendekatan ini memindahkan sebagian tanggung jawab ke pengguna. Tanpa dukungan resmi dari tim keamanan distribusi, pengguna harus lebih berhati‑hati terhadap pembaruan, patch keamanan, dan sumber paket yang digunakan.

Pelajaran bagi Ekosistem Linux

Kasus Deepin menunjukkan bagaimana distribusi Linux menyeimbangkan antara pengalaman pengguna dan standar keamanan.

Lingkungan desktop yang menarik secara visual sekalipun tetap harus memenuhi standar ketat dalam hal keamanan kode, proses packaging, dan pemeliharaan jangka panjang.

Dalam kasus ini, kombinasi masalah keamanan yang belum terselesaikan, integrasi dengan komponen sistem berhak istimewa, serta komunikasi upstream yang terbatas membuat dua distribusi besar—openSUSE dan Fedora—memutuskan bahwa Deepin belum memenuhi standar untuk dimasukkan dalam repositori resmi mereka.