Fedora y openSUSE retiran Deepin Desktop de repositorios oficiales tras fallos en el empaquetado

Deepin Desktop Environment (DDE) ha sido retirado de los repositorios oficiales de dos grandes ecosistemas de Linux: openSUSE/SUSE inició la eliminación en 2025 por incumplimientos en sus políticas de empaquetado, y Fedora confirmó el 21 de mayo de 2026 que también ha quitado los paquetes de sus repositorios. La medida responde a preocupaciones de seguridad ligadas al modo en que se distribuían los paquetes, y reduce la disponibilidad oficial de DDE en distribuciones empresariales y comunitarias.

Según SUSE, un empaquetador comunitario de Deepin evitó los mecanismos normales de RPM para instalar lo que se describe como "restricted assets", lo que permitía eludir revisiones de seguridad automáticas. Ante esos hallazgos, la Fedora Engineering and Steering Committee (FESCo) ordenó retirar los paquetes y pidió explícitamente al equipo de liberaciones (releng) que no los "unretire" salvo que vuelvan a pasar la revisión requerida.

El historial de preocupaciones sobre Deepin incluye reportes desde 2018 que señalaron que el Deepin Store hacía solicitudes no cifradas a CNZZ, un servicio de analítica. Además, un barrido forense citado por Foss Linux no encontró evidencia de spyware activo en ese análisis, pero las prácticas de empaquetado recientes incrementaron la desconfianza en los procesos de revisión y distribución. Fedora aplicó un plazo de contacto de cuatro semanas para que los mantenedores respondieran y corrigieran las deficiencias; ese plazo caducó sin resultados que satisficieran a los responsables del repositorio. Las distribuciones afectadas han dejado claro que la reactivación de DDE dependerá de una nueva evaluación que confirme cumplimiento técnico y de seguridad.

En la práctica, la decisión significa que, aunque todavía es posible compilar DDE a partir del código fuente, ya no estará disponible como paquete preconstruido en los repositorios oficiales de openSUSE/SUSE y Fedora. Eso limita opciones para administradores y usuarios que prefieren instalar software directamente desde repositorios empaquetados y gestionados por la distribución.

La situación subraya una lección operativa para proyectos de software: más allá del diseño o la usabilidad, mantener presencia en distribuciones principales exige adherencia estricta a los flujos de empaquetado y a las auditorías de seguridad. Para que Deepin regrese a los repositorios oficiales se requerirá una revisión de código rigurosa, corrección de los procesos de empaquetado RPM y pruebas que demuestren conformidad con las políticas de cada distribución.