Разработчики популярного дистрибутива Linux openSUSE приняли решение исключить окружение рабочего стола Deepin (DDE) из своих репозиториев сообщества. Причинами стали проблемы с безопасностью, несоответствия в поддержке пакетов и неоднократные нарушения политик безопасности и упаковки openSUSE.
OpenSUSE, известный своей стабильностью и широкими возможностями настройки, долгое время предоставлял пользователям доступ к рабочему окружению Deepin Desktop Environment через репозитории сообщества. DDE привлекал определенную базу пользователей современным дизайном и некоторыми инновационными функциями. Однако, дальнейшая поддержка данного окружения в рамках openSUSE прекращена.
Хронология проблем и принятые меры
Решение об удалении, анонсированное разработчиками openSUSE, стало следствием накопившихся инцидентов. Ключевыми факторами послужили серьезные уязвимости в компонентах D-Bus и Polkit (PolicyKit) рабочего стола Deepin. Ситуация усугублялась повторяющимися нарушениями процедур проверки безопасности и правил формирования пакетов, установленных в openSUSE.
Особое внимание привлек случай 2021 года, когда один из мейнтейнеров Deepin Desktop несанкционированно внедрил в openSUSE пакет под названием deepin-feature-enable.Данный пакет реализует диалоговое окно лицензионного соглашения. В случае принятия пользователем условий соглашения, пакет автоматически извлекал и устанавливал в систему непроверенные конфигурационные файлы D-Bus и политики Polkit. Этот процесс полностью обходил процедуры проверки безопасности и формирования белого списка в openSUSE.
Проблемы с безопасностью Deepin Desktop в openSUSE возникали и ранее:
- В 2017 году была выявлена уязвимость, позволявшая любому пользователю олицетворять службу D-Bus файлового менеджера.
- В 2019 году любой пользователь мог без ограничений регистрировать службу D-Bus.
- В 2023 году были обнаружены недостатки безопасности, допускавшие загрузку небезопасных конфигурационных файлов.
Последствия для пользователей openSUSE
Для пользователей дистрибутива openSUSE Leap 15.6 пакет deepin-feature-enable будет удален, однако остальные пакеты Deepin останутся в системе, хотя их дальнейшая поддержка не гарантируется. В то же время, новые выпуски openSUSE Tumbleweed и предстоящий релиз openSUSE Leap 16.0 более не будут включать какие-либо пакеты, связанные с Deepin Desktop.
Несмотря на сложившуюся ситуацию, разработчики openSUSE формально не запрещают пользователям устанавливать Deepin Desktop из сторонних источников. Однако они настоятельно не рекомендуют этого делать и подчеркивают, что вся ответственность за доверие и использование любых пакетов Deepin Desktop ложится исключительно на самих пользователей.
По мнению экспертов, сложившаяся ситуация является результатом действий самих мейнтейнеров Deepin Desktop, которые не смогли обеспечить должный уровень поддержки и безопасности своих пакетов в экосистеме openSUSE, что и привело к прекращению их официальной интеграции.
Linux: обзоры и обновления
• Mesa 25.2.5: важное исправление для видеокарт Intel улучшает графику в играх на Linux
• Релиз Zorin OS 18 — альтернатива Windows 10 для устаревших ПК
• GNOME прекратил поддержку 32-битных сборок в Flatpak Runtime
• GE-Proton 10-18: исправления для Wayland, Company of Heroes 2 и 3, Blue Protocol: Star Resonance
• Обновления Linux за неделю: 6 – 12 октября 2025 года
• Ubuntu 24.04 и новее получили поддержку динамических иконок календаря, часов и погоды