Fedora、Deepinデスクトップ環境パッケージを公式リポジトリから引退

openSUSEの先行判断

Fedoraの判断は、完全に独立したものではありません。2025年にはopenSUSEがDeepinをリポジトリから削除しています。

openSUSEのセキュリティチームは調査の中で次の問題を発見しました。

• セキュリティレビューを回避する**パッケージングの回避策（workaround）**が存在
• 本来セキュリティ審査が必要なコンポーネントがそのままインストールされる仕組み
• D‑Busサービス設定やPolkitポリシーなど、特権操作に関わるファイルの扱い

特に問題視されたのは、RPMパッケージの標準的なセキュリティレビューを回避する仕組みが導入されていた点でした。

この問題を受け、openSUSEはDeepinをリポジトリから削除し、改善があれば再評価すると表明しましたが、その後のレビューでも大きな進展は確認されませんでした。

Fedoraはその後、同様の問題が自分たちのパッケージにも存在する可能性を検証するためレビューを開始し、今回の引退決定につながりました。

メンテナンスとコミュニケーションの問題

技術的な懸念に加えて、Fedoraのレビューではプロジェクト運営面の問題も指摘されました。

具体的には、

• バグ報告への対応が遅い
• セキュリティに関する問い合わせへの返信が得にくい

といった点です。

Linuxディストリビューションでは、上流プロジェクトとの連携が迅速であることが重要です。脆弱性修正やパッチの提供が滞ると、ユーザーに直接リスクが及ぶためです。

Deepinを使い続けたい場合

今回の決定は、Deepinそのものを禁止するものではありません。ユーザーにはいくつかの選択肢があります。

• Deepinを公式に提供している他のLinuxディストリビューションを使う
• サードパーティのリポジトリからインストールする
• 自分でビルド・パッケージングする

ただし、公式リポジトリから外れたソフトウェアはディストリビューションのセキュリティチームによる監視や更新の保証がなくなるため、ユーザー側の管理負担は増えます。

Linuxディストリビューションが重視するもの

今回の出来事は、Linuxディストリビューションが単に機能やデザインだけでソフトウェアを採用しているわけではないことを示しています。

• セキュリティレビュー
• パッケージ品質
• 継続的なメンテナンス
• 上流開発との協力体制

こうした要素が満たされない場合、人気のあるデスクトップ環境であっても公式リポジトリから外されることがあります。

Deepinを巡る一連の動きでは、openSUSEに続いてFedoraも同様の結論に至ったことで、オープンソースのエコシステムにおけるセキュリティと保守の重要性が改めて浮き彫りになりました。