Команда разработчиков openSUSE исключила из своего дистрибутива графическую оболочку Deepin Desktop Environment (DDE) по соображениям безопасности.

Разработчики проекта openSUSE выявили, что сопровождающий Deepin попытался обойти принятые в openSUSE правила рецензирования пакетов и, не уведомив команду, отвечающую за безопасность, разместил в репозитории пакет deepin-feature-enable. Этот пакет был размещён в апреле 2021 года и включал функциональность, нацеленную на установку дополнительных компонентов, не прошедших проверку и содержащих неустранённые проблемы с безопасностью.

По информации OpenNET, пакет deepin-feature-enable осуществлял вывод диалога для подтверждения пользователем согласия с условиями лицензии. В его условиях было сказано, что ряд компонентов, необходимых для корректной работы Deepin, не включён в официальный репозиторий из‑за сомнений в их безопасности у разработчиков openSUSE. Если пользователь выразил готовность пойти на снижение безопасности и согласился с лицензией, осуществлялась распаковка в системные каталоги дополнительных файлов конфигурации D‑Bus и политик Polkit из tar‑архивов, включённых в состав пакетов deepin‑daemon‑dbus и deepin‑daemon‑polkit. Операция выполнялась в обход штатных механизмов установки системных компонентов, предоставляемых пакетным менеджером RPM.

В диалоге принятия лицензионного соглашения deepin-feature-enable также приводилась инструкция, предлагающая пользователю вручную установить пакеты depin‑file‑manager‑dbus и deepin‑file‑manager‑polkit, после чего запустить скрипт для загрузки дополнительных файлов конфигурации, необходимых для работы сервиса Deepin File Manager D‑Bus.

Правила openSUSE предписывают сопровождающим устанавливать файлы конфигурации сервисов D‑Bus и политики Polkit только после проверки их безопасности участниками SUSE Security Team и помещения в белый список допустимых компонентов. Часть подобных компонентов Deepin прошла проверку и была включена в штатные пакеты, но некоторые компоненты были возвращены на доработку из‑за выявленных проблем с безопасностью. Проблемы не были устранены должным образом и желаемые компоненты не получили одобрение на включение. Вместо устранения замечаний сопровождающий Deepin продвинул проблемные компоненты обходным путём.

Команда SUSE Security Team не рекомендует использовать Deepin в настоящее время из‑за нерешённых проблем с безопасностью и общей низкой культуры проекта в отношении безопасности. Все пакеты Deepin будут удалены из репозитория openSUSE Tumbleweed и не войдут в состав будущего релиза openSUSE Leap 16.0. В openSUSE Leap 15.6 решено удалить только проблемный пакет deepin‑feature‑enable. Пользователям, желающим установить или продолжить использование Deepin в openSUSE, оставлена возможность установки пакетов из отдельных репозиториев Deepin Factory для openSUSE Tumbleweed и Deepin Leap для openSUSE_Leap.