Removal of Deepin Desktop from openSUSE due to Packaging Policy Violation
security.opensuse.org
At the beginning of this year we noticed that the Deepin Desktop as it is currently packaged in openSUSE relies on a packaging policy violation to bypass SUSE security team review restrictions. With a long history of code reviews for Deepin components dating back to 2017, this marks a turning point for us that leads to the removal of the Deepin Desktop from openSUSE for the time being.

Resumo feito pelo DeepSeek (traduzir o texto por completo se mostrou um pouco trabalhoso, ele tem muitas formatações)

1. Introdução

  • O ambiente Deepin Desktop (DDE) foi removido do openSUSE devido a violações de políticas de segurança.
  • Um pacote (deepin-feature-enable) contornou revisões de segurança instalando componentes restritos via um “acordo de licença”.

2. Violação de Políticas

  • O pacote deepin-feature-enable instalou arquivos D-Bus/Polkit sem revisão, ignorando mecanismos RPM.
  • Um diálogo enganoso permitia aos usuários ativar componentes inseguros com um simples “y”.

3. Histórico de Revisões Problemáticas

  • 2017-2024: Diversos componentes do Deepin apresentaram falhas graves:
    • deepin-api: Execução arbitrária de comandos como root.
    • deepin-file-manager: Serviço D-Bus sem autenticação, permitindo manipulação de arquivos e grupos.
    • deepin-app-services: Vulnerabilidades de injeção de caminhos.
    • Comunicação difícil com a equipe upstream e correções insuficientes.

4. Conclusões e Decisão

  • Falta de cultura de segurança no projeto Deepin.
  • Remoção do DDE do openSUSE Tumbleweed e Leap 16.0.
  • Sugestão de uma reavaliação futura com novos responsáveis.

5. Como Continuar Usando o Deepin (Não Recomendado)

  • Adicionar repositórios de desenvolvimento manualmente:
    zypper ar https://download.opensuse.org/repositories/X11:/Deepin:/Factory/openSUSE_Tumbleweed deepin-factory
zypper ref