SUSE 称 Deepin 社区违反打包政策，已从 openSUSE 发行版移除 Deepin 桌面 (DDE)

SUSE 安全团队宣布， 因 Deepin 社区违反打包政策，已从 openSUSE 发行版移除 Deepin 桌面 (DDE)。

公告原文如下：

Deepin 桌面环境（DDE）是 Deepin Linux 发行版的一部分。它注重可用性、精致的图形界面以及支持中文。它也适用于其他一些 Linux 发行版，openSUSE 就是其中之一。

最近我们注意到 openSUSE 中 Deepin 桌面环境的打包存在政策违规行为。为了规避安全审查要求，Deepin 社区打包者实现了一个变通方法，绕过了常规的 RPM 打包机制来安装受限资源。

由于这一违规行为，并且考虑到我们与 Deepin 代码审查的复杂历史，我们将暂时从 openSUSE 发行版中移除 Deepin 桌面包。

SUSE 安全团队解释了 Deepin 社区的具体违规行为：

2025 年 1 月，在例行审查期间，我们发现了deepin-feature-enable包，该包于 2021-04-27 引入，而在此过程中我们既没有被咨询，也没有被告知。

这个看似无害的包实现了一个“许可协议对话框”，基本上解释了 SUSE 安全团队对 Deepin 的安全性存在疑虑，但为了正确使用 Deepin，某些组件仍需安装。

因此，如果用户不关心安全性，则应接受“许可”。如果用户接受，则deepin-daemon-dbus和deepin-daemon-polkit包中的 tarball 会自动提取缺失的 D-Bus 配置文件和 Polkit 策略到系统目录中。许可文本还包含一个提示，建议手动安装deepin-file-manager-dbus和deepin-file-manager-polkit包，并运行一个脚本来侧载 Deepin 文件管理器 D-Bus 组件所需的进一步配置文件。

对于最终用户来说，这实际上意味着在安装 Deepin 模板时，只需输入一次“y”即可选择激活 SUSE 安全团队未接受的可疑安全组件。

考虑到多年来发生的众多审查，频率和活动有所下降，我们错误地认为，到如今 Deepin D-Bus 组件的大部分已经在我们批准后进入 openSUSE:Factory （除了某些可选工具包）。相反，我们发现 deepin-daemon 包中的核心组件从未提交给我们审查，而是被偷偷摸摸地引入了 openSUSE。

自 2019 年以来，Deepin 文件管理器一直存在审查漏洞，而软件包仍未达到令人满意的状态。让用户能够运行脚本来激活有问题的组件，不如通过定制的“许可对话框”自动完成，但这仍然是一种不干净且可疑的方法。

SUSE 团队对 Deepin 社区违反打包政策一事发表了自己的看法：

在我们进行代码审查的过程中，Deepin 软件及其上游的体验并不理想。我们报告的安全问题不止一次被新的安全问题所取代。有时，上游并没有投入精力去充分分析我们报告的问题，并且修复不足。

总体而言，与上游的沟通非常困难，或许也是语言障碍的原因。虽然上游有时会表示他们没有足够的资源来处理安全报告（这已经足够令人担忧），但 Deepin D-Bus 组件的设计和实现经常以不相关的方式发生根本性的变化。这使得 Deepin 组件的安全评估变得像一个不断变化的目标。因此，多年来建立对 Deepin 组件的信任变得极其困难。

Deepin 代码审查的历史清楚地表明，上游缺乏安全文化，同类安全问题不断出现。尽管我们只审查了 Deepin 代码的一小部分，但几乎每次审查其组件时都会发现安全问题。基于这些经验，我们预计 Deepin 代码中其他不太明显的部分可能还存在安全问题，而 D-Bus 服务则不然（因为它们以提升的权限运行）。鉴于我们在 Deepin D-Bus 服务方面的经验，我们认为它们很可能破坏了用户隔离。这些组件显然不适用于多用户系统；即使在单用户系统上，它们也会显著削弱纵深防御。

发现该 deepin-feature-enable软件包绕过安全白名单的行为标志着我们对 Deepin 评估的一个转折点。我们认为 openSUSE Deepin 软件包构建者在实施“许可协议”对话框以绕过我们的白名单限制时并非出于恶意。该对话框本身将我们所关注的安全问题透明化，因此这种情况并非以偷偷摸摸的方式发生，至少不会对用户造成影响。

然而，我们并未就此进行讨论，这违反了 openSUSE 的软件包政策。除了安全方面，这还会影响一般的软件包质量保证：deepin-feature-enable例如，软件包安装的 D-Bus 配置文件和 Polkit 策略对于软件包管理器来说是未知的，并且在软件包删除后不会被清除。我们认为此类绕过行为是不可接受的。

综合以上因素，我们决定将 Deepin 桌面从 openSUSE Tumbleweed 以及未来的 Leap 16.0 版本中彻底移除。在 openSUSE Leap 15.6 中，我们 deepin-feature-enable只会移除有问题的软件包。

鉴于 Deepin 桌面拥有大量用户，这是一个艰难的决定。我们坚信 openSUSE 中的 Deepin 打包和安全评估需要重新开始，最好能引入一些新人，帮助他们完善 Deepin 软件包，与 Deepin 上游建立联系，并密切关注错误修复，从而避免无谓的后续审核，浪费我们的时间。在这样的新环境下，我们愿意重新逐一审查所有敏感的 Deepin 组件。

当然，这个过程需要时间，我们作为安全团队的能力也有限。鉴于Deepin项目的规模，我们也希望其他Linux发行版和（安全）社区能够加入我们，共同努力与Deepin上游构建更好的安全文化。

SUSE团队还梳理了具体的时间线：

完整内容查看：https://security.opensuse.org/2025/05/07/deepin-desktop-removal.html