Из репозиториев Fedora уберут все пакеты Deepin. Решение принял инженерно-управляющий комитет дистрибутива (FESCo) через год после открытия тикета об аудите безопасности Deepin. Поводом стала публикация команды безопасности SUSE: годом ранее в openSUSE удалили Deepin Desktop из-за многолетних претензий к безопасности компонентов. Вернуть пакеты в репозиторий разрешено только после повторного аудита.
Резолюция FESCo по тикету 3409
На последнем заседании FESCo утвердил такую формулировку резолюции:
Удалить все пакеты из списка, упомянув в сопроводительном сообщении тикет FESCo. Просить инженеров релизов не восстанавливать удалённые пакеты по запросу до повторного прохождения проверки.
— протокол заседания FESCo, тикет 3409
FESCo (Fedora Engineering and Steering Committee) — инженерно-управляющий комитет Fedora. Решает технические и процессные вопросы дистрибутива: одобрение изменений в релизах, споры о сопровождении пакетов, утверждение проектных политик.
Почему тикет лежал год
Тикет FESCo 3409 об аудите безопасности Deepin был открыт около года назад — вскоре после публикации команды безопасности SUSE с разбором накопившихся вопросов к компонентам Deepin.
За год обсуждения в Fedora упёрлись в два препятствия. С частью сопровождающих пакетов Deepin не удалось связаться, поэтому проработать выводы SUSE силами действующего сопровождения было некому. Кроме того, в проекте не нашлось чёткой политики, которая описывала бы порядок действий в подобных случаях, — именно поэтому, судя по обсуждению, рассмотрение затянулось.
Прецедент openSUSE
В публикации команды безопасности SUSE были собраны накопившиеся с 2017 года вопросы к компонентам Deepin: проблемы с D-Bus-сервисами, обходы проверок Polkit, нарушение правил упаковки. По итогам разбора Deepin Desktop был выведен из openSUSE Tumbleweed и готовящейся Leap 16.0.
Заключение
Fedora повторяет шаг openSUSE. После того как изменение придёт в стабильные репозитории, установить Deepin штатными средствами Fedora будет нельзя. Вернуть пакеты в дистрибутив можно через повторный аудит безопасности; готовых добровольцев для него по итогам годового обсуждения не нашлось.