openSUSE 宣布移除 Deepin DE,原因包括软件安全性问题及打包者试图绕过 openSUSE 的安全查核等。
- DDE (Deepin Desktop Environment) 是由深度科技开发的桌面环境。一位与深度科技无关的 openSUSE 社区成员贡献了将 DDE 软件在 openSUSE 打包的工作 [1]。
- 作为一个功能丰富的桌面环境,DDE 有大量的软件包需要查核。由于发现的大量安全问题及 openSUSE 在一段团队重组时期的工作积压,查核自 2017 年起一直未能完成。
- 2025 年一月的一次检查中,openSUSE 发现 2021 年引入的 deepin-feature-enable 软件包有蹊跷。软件包内的脚本向用户解释 DDE 和 openSUSE 团队在安全方面存尚未达成一致,并允许用户手动选择启用未被 openSUSE 安全团队查核通过的功能。openSUSE 本以为大量查核的结束表明 DDE 的各组件已被查核通过,但实际上核心组件从未经过查核,而是通过此软件包在用户的系统上被启用。
- openSUSE 团队认为社区打包者的行为由于有向用户开诚布公因此并非恶意,但 DDE 开发团队对安全性的意识不足,且软件包违反了 openSUSE 打包政策,因此决定从 Leap 16.0 起的版本及 Tumbleweed 滚动发行版中移除 DDE 软件包。
- 虽然 openSUSE 已不建议用户使用 Deepin DE,但想要继续使用 DDE 的用户可以参考文章中的方法手工添加 Deepin 软件包源。
security.opensuse.org/~
EDIT 5/9: 额外指出了 openSUSE 社区的 DDE 打包者与深度科技无关的情况。感谢一位匿名订户勘误。
1. g0v.social/~
#openSUSE #Deepin
>>Click here to continue<<