Почему Fedora и openSUSE удалили Deepin Desktop из своих репозиториев

Команда безопасности openSUSE обнаружила нарушение политики упаковки пакетов. Один из сопровождающих реализовал обход стандартного механизма RPM‑упаковки, позволяющий устанавливать ограниченные компоненты без прохождения обычной проверки безопасности.

Такой обход считается серьёзным нарушением правил, потому что система упаковки в openSUSE предназначена именно для того, чтобы:

• проверять чувствительные компоненты
• гарантировать прозрачность установки
• предотвращать установку неподтверждённого кода

После обнаружения проблемы проект решил удалить пакеты Deepin из репозиториев до устранения всех вопросов безопасности.

Конкретные проблемы безопасности

Во время аудита Deepin разработчики неоднократно поднимали вопросы о безопасности отдельных компонентов.

Наиболее часто упоминались проблемы, связанные с:

• D‑Bus сервисами, через которые приложения взаимодействуют с системными компонентами
• Polkit (PolicyKit) — механизмом управления административными привилегиями

Некоторые сообщения указывали, что ошибки в этих механизмах могут потенциально привести к эскалации привилегий, если сервисы настроены неправильно или недостаточно ограничены.

Особое внимание привлек D‑Bus‑сервис файлового менеджера Deepin. Его аудит безопасности продолжался несколько лет и так и не привёл к окончательному решению: исправления иногда устраняли проблему лишь частично или в новых версиях появлялись другие потенциальные риски.

Поскольку D‑Bus позволяет приложениям обращаться к системным функциям, ошибки в архитектуре сервиса могут создавать дополнительные риски, если код не проходит тщательную проверку.

Проблема взаимодействия с разработчиками Deepin

Ещё одним фактором стала ограниченная реакция со стороны upstream‑разработчиков (команды, которая непосредственно создаёт Deepin).

Поддерживающие пакеты в openSUSE сообщали, что:

• ответы на сообщения о проблемах приходили медленно
• исправления не всегда полностью закрывали уязвимости
• некоторые вопросы безопасности оставались нерешёнными долгое время

Для дистрибутивов Linux сотрудничество с upstream‑проектами критически важно. Без него трудно:

• проверять безопасность кода
• подтверждать устранение уязвимостей
• поддерживать патчи и обновления в долгосрочной перспективе

В сочетании с проблемами упаковки и техническими рисками это стало дополнительным аргументом в пользу удаления Deepin из официальных репозиториев.

Что это означает для пользователей

Удаление Deepin из Fedora и openSUSE не означает исчезновение самой среды рабочего стола. Проект Deepin продолжает существовать, и пользователи всё ещё могут использовать его несколькими способами:

• установить дистрибутив, где Deepin является основной или официально поддерживаемой средой
• использовать сторонние репозитории
• собрать компоненты Deepin из исходного кода

Однако стоит учитывать компромиссы. Пакеты из неофициальных источников могут не проходить такой же строгий аудит безопасности, какой применяют официальные репозитории Fedora и openSUSE.

Что показывает эта история

Случай с Deepin демонстрирует важный принцип развития Linux‑дистрибутивов: включение программ зависит не только от популярности или внешнего вида, но и от прозрачности разработки, безопасности и качества сопровождения.

Даже популярная и визуально привлекательная среда рабочего стола может быть удалена, если дистрибутив не уверен в её безопасной интеграции в систему.

Для Fedora и openSUSE решение стало проявлением консервативного подхода к безопасности: лучше сократить выбор в официальных репозиториях, чем поддерживать программное обеспечение, которое вызывает постоянные вопросы у команды безопасности.