openSUSE removes Deepin Desktop after discovering a policy-violating workaround used to bypass required security reviews of sensitive system components.
В ходе недавней разработки проект openSUSE решил удалить из своих репозиториев среду рабочего стола Deepin (DDE), известную своей отточенной графикой и удобным интерфейсом, ссылаясь на существенные нарушения политики упаковки. Согласно раскрытиям информации от команды безопасности openSUSE, в упаковке DDE был обнаружен потенциально опасный обходной путь. В частности, упаковщик сообщества Deepin представил диалоговое окно «лицензионного соглашения» в пакете deepin-feature-enable, эффективно обойдя стандартные процессы проверки безопасности, требуемые openSUSE.
Обычно такие компоненты, как конфигурации системных служб D-Bus и политики Polkit, должны пройти строгую проверку командой безопасности SUSE, прежде чем попасть в белый список для включения в дистрибутивы openSUSE. Однако в данном случае обнаруженное «лицензионное соглашение» позволиляет пользователям обходить эти проверки безопасности, устанавливая компоненты, помеченные командой безопасности как потенциально небезопасные, просто приняв лицензию.
Эта практика появилась во время плановых проверок безопасности в январе 2025 года, показав, что ключевые компоненты Deepin, такие как deepin-daemon и файловый менеджер, полностью обошли формальные процессы проверки. Хотя упаковщик Deepin, вероятно, не намеревался причинить злонамеренный вред и открыто сообщал о проблемах безопасности через «лицензионное соглашение», такой подход, тем не менее, был признан неприемлемым из-за явных нарушений политик упаковки openSUSE и потенциальных рисков безопасности для пользователей.
Однако более глубокая проблема коренится в исторически напряженном взаимодействии между командами безопасности openSUSE и разработчиками Deepin. Отчеты указывают на повторяющиеся проблемы безопасности, недостаточное устранение уязвимостей и непоследовательную коммуникацию, возможно, усугубленную языковыми барьерами (Deepin — китайский дистрибутив Linux, ориентированный в основном на пользователей в Китае) и ограниченными ресурсами upstream.
Следовательно, поддержание безопасной и надежной интеграции Deepin в openSUSE становится все более несостоятельным. Учитывая историю безопасности Deepin и опасения, высказанные в предыдущем разделе, мы не рекомендуем использовать Deepin Desktop в настоящее время.
В ответ на эти события openSUSE полностью удалит Deepin Desktop из выпуска Tumbleweed и предстоящего дистрибутива Leap 16.0. Для пользователей Leap 15.6 будет удален только проблемный пакет deepin-feature-enable.
Пользователям, желающим продолжать использовать Deepin, несмотря на признанные проблемы безопасности, openSUSE предлагает вручную добавить репозитории проекта разработки Deepin. Тем не менее, пользователям настоятельно рекомендуется проявлять осторожность, учитывая описанные риски безопасности. Для получения дополнительной информации см. официальное объявление openSUSE.
https://security.opensuse.org/2025/05/07/deepin-desktop-removal.html
P.S. Нетрудно также заметить что , Fedora Linux 42/41 по факту просто не позволяют установить Deepin Desktop на сервер, либо как второе DE. Никаких официальных заявлений FESCO по этому вопросу в открытой печати я не замечал. Actually, it means that Suse Software recommends to quit Deepin Desktop on all Linux Flavors, not only on openSUSE Tumbleweed or openSUSE Leap 16 (future release) and15.5.