Fedora и openSUSE удалили Deepin Desktop (DDE) из официальных репозиториев из‑за нарушений упаковки и рисков безопасности

Рабочее окружение Deepin Desktop Environment (DDE) удалено из официальных репозиториев Fedora и openSUSE после выявленных нарушений процедур упаковки и накопленных вопросов безопасности;

Fedora и openSUSE временно удалили пакеты Deepin Desktop Environment (DDE) из своих официальных репозиториев после обнаружения нарушений процессов упаковки и связанных с этим рисков безопасности. Это значит, что DDE больше недоступно для установки через стандартные каналы дистрибутивов; решение затронет пользователей и сборщиков, которые полагались на репозитории для обновлений и проверки безопасности.

openSUSE объяснила удаление тем, что упаковщик сообщества Deepin применил обходной путь, позволяющий уклониться от требований к проверке безопасности: «we noticed a policy violation in the packaging of the Deepin desktop environment in openSUSE. To get around security review requirements, our Deepin community packager implemented a workaround that bypasses the regular RPM packaging mechanisms to install restricted assets.» В результате соответствующие пакеты были временно удалены из репозиториев до приведения упаковки в соответствие с политиками проекта.

Fedora приняла аналогичное решение после обсуждения в комитете FESCo: было предписано «Retire all packages in the list...ask releng to not unretire those packages if a request is made, unless they passed review again.» Сообщается, что команда Fedora пыталась связаться с мейнтейнерами DDE и дала им четырёхнедельный срок на ответ перед окончательным удалением пакетов из репозиториев.

История проблем у Deepin началась раньше: в 2018 году магазин приложений Deepin отправлял незашифрованные запросы в китайскую систему аналитики CNZZ, включая user‑agent и другие данные; разработчики позднее прекратили этот сбор данных. Последовавшие проверки сообществом и форумные ревью не обнаружили доказательств наличия скрытого шпионского ПО в самом ядре DDE, однако эти выводы не устранили нарушений упаковки и процедур ревью, которые и стали непосредственной причиной удаления пакетов.

Практические последствия для пользователей и сборщиков очевидны: официальных обновлений и автоматической поддержки DDE в репозиториях Fedora и openSUSE больше не будет. Теоретически окружение можно собрать из исходников и запустить на Fedora или других системах, но при таком подходе ответственность за сборку, обновления и прохождение проверок безопасности ложится на пользователя или сторонних мейнтейнеров, а не на дистрибутив. Для восстановления пакетов дистрибутивы требуют повторного и строгого обзора: проект Deepin должен обеспечить прозрачность кода и упаковки, полностью соответствовать RPM‑механизмам и оперативно взаимодействовать с сообществом дистрибутивов. Без таких изменений вероятность возвращения DDE в официальные репозитории остаётся низкой.

Источник и дополнительные материалы: заявлены SUSE, решение FESCo и отчёты о проверках состояния безопасности и упаковки, упомянутые в исходном материале.