Разработчики популярного дистрибутива Linux openSUSE приняли решение исключить окружение рабочего стола Deepin (DDE) из своих репозиториев сообщества. Причинами стали проблемы с безопасностью, несоответствия в поддержке пакетов и неоднократные нарушения политик безопасности и упаковки openSUSE.
OpenSUSE, известный своей стабильностью и широкими возможностями настройки, долгое время предоставлял пользователям доступ к рабочему окружению Deepin Desktop Environment через репозитории сообщества. DDE привлекал определенную базу пользователей современным дизайном и некоторыми инновационными функциями. Однако, дальнейшая поддержка данного окружения в рамках openSUSE прекращена.
Хронология проблем и принятые меры
Решение об удалении, анонсированное разработчиками openSUSE, стало следствием накопившихся инцидентов. Ключевыми факторами послужили серьезные уязвимости в компонентах D-Bus и Polkit (PolicyKit) рабочего стола Deepin. Ситуация усугублялась повторяющимися нарушениями процедур проверки безопасности и правил формирования пакетов, установленных в openSUSE.
Особое внимание привлек случай 2021 года, когда один из мейнтейнеров Deepin Desktop несанкционированно внедрил в openSUSE пакет под названием deepin-feature-enable.
Данный пакет реализует диалоговое окно лицензионного соглашения. В случае принятия пользователем условий соглашения, пакет автоматически извлекал и устанавливал в систему непроверенные конфигурационные файлы D-Bus и политики Polkit. Этот процесс полностью обходил процедуры проверки безопасности и формирования белого списка в openSUSE.
Проблемы с безопасностью Deepin Desktop в openSUSE возникали и ранее:
- В 2017 году была выявлена уязвимость, позволявшая любому пользователю олицетворять службу D-Bus файлового менеджера.
- В 2019 году любой пользователь мог без ограничений регистрировать службу D-Bus.
- В 2023 году были обнаружены недостатки безопасности, допускавшие загрузку небезопасных конфигурационных файлов.
Последствия для пользователей openSUSE
Для пользователей дистрибутива openSUSE Leap 15.6 пакет deepin-feature-enable
будет удален, однако остальные пакеты Deepin останутся в системе, хотя их дальнейшая поддержка не гарантируется. В то же время, новые выпуски openSUSE Tumbleweed и предстоящий релиз openSUSE Leap 16.0 более не будут включать какие-либо пакеты, связанные с Deepin Desktop.
Несмотря на сложившуюся ситуацию, разработчики openSUSE формально не запрещают пользователям устанавливать Deepin Desktop из сторонних источников. Однако они настоятельно не рекомендуют этого делать и подчеркивают, что вся ответственность за доверие и использование любых пакетов Deepin Desktop ложится исключительно на самих пользователей.
По мнению экспертов, сложившаяся ситуация является результатом действий самих мейнтейнеров Deepin Desktop, которые не смогли обеспечить должный уровень поддержки и безопасности своих пакетов в экосистеме openSUSE, что и привело к прекращению их официальной интеграции.
Linux: обзоры и обновления
• Пользователям Ubuntu 24.10 пора обновляться — поддержка заканчивается 10 июля
• GE-Proton 10-7 для Linux, SteamOS и на Steam Deck вышел с исправлениями для популярных игр и поддержки Wine Wayland
• Обновления Linux за неделю: 23 – 29 июня 2025 года
• SteamOS демонстрирует превосходство над Windows в тестах на Lenovo Legion Go S
• Canonical сообщает о росте выручки до 292$ млн в 2024 году
• Релиз Wine 10.11: Исправления для игр и поддержка WIDL